Google eliminó 17 aplicaciones de Android de su Play Store porque estaban infectadas con el malware Joker

Los investigadores de seguridad de Zscaler detectaron 17 aplicaciones en Play Store que estaban infectadas con el malware Joker (Bread).

El malware Joker es un código malicioso camuflado como una aplicación del sistema y permite a los atacantes realizar una amplia gama de operaciones maliciosas, que incluyen deshabilitar el servicio  Google Play Protect, instalar aplicaciones maliciosas, generar reseñas falsas y mostrar anuncios.

El software espía puede robar mensajes SMS, listas de contactos e información del dispositivo, además de registrar a las víctimas en suscripciones de servicios premium.

En octubre, Google  eliminó  de Google Play 24 aplicaciones porque estaban infectadas con el malware Joker, las 24 aplicaciones maliciosas tuvieron un total de 472,000 instalaciones.

En enero, Google eliminó con éxito más de 1.700 aplicaciones de Play Store durante los últimos tres años que habían sido infectadas con el malware Joker.

En febrero, el infame malware Joker encontró una manera de eludir los controles de seguridad que se publicarán en la Play Store oficial, los investigadores de Check Point descubrieron un nuevo clicker.

En julio, Google eliminó otro lote de aplicaciones infectadas con el malware Joker que fue descubierto por investigadores de seguridad de Anquanke; las aplicaciones maliciosas habían estado activas desde marzo y supuestamente infectaron millones de dispositivos.

A principios de septiembre, Google eliminó otras seis aplicaciones que habían sido detectadas por investigadores de seguridad de Pradeo.

Ahora Google eliminó 17 nuevas aplicaciones de Android, que fueron reportadas por ZScaler, de Play Store.

Según los expertos las 17 muestras diferentes se subieron a Google Play en septiembre de 2020 y tuvieron un total de 120.000 descargas.

Aplicaciones infectadas descubiertas en la tienda Google Play:

  • All Good PDF Scanner
  • Mint Leaf Message-Your Private Message
  • Unique Keyboard – Fancy Fonts & Free Emoticons
  • Tangram App Lock
  • Direct Messenger
  • Private SMS
  • One Sentence Translator – Multifunctional Translator
  • Style Photo Collage
  • Meticulous Scanner
  • Desire Translate
  • Talent Photo Editor – Blur focus
  • Care Message
  • Part Message
  • Paper Doc Scanner
  • Blue Scanner
  • Hummingbird PDF Converter – Photo to PDF

El análisis publicado por ZScaler incluye detalles sobre las tácticas utilizadas por el autor del malware Joker para eludir el proceso de investigación de Google Play.

En un primer escenario de ataque detallado por los expertos, para algunas de las variantes de Joker, la carga útil final se entregó a través de una URL directa recibida del servidor C2. En esta variante, la dirección C&C estaba oculta en el código mismo con una ofuscación de cadenas. 

En un segundo escenario de descarga, algunas aplicaciones infectadas utilizaron una carga útil escalonada para recuperar la carga útil final. En este caso, la URL de carga útil del stager codificada en el código mismo se cifró utilizando Advanced Encryption Standard (AES).

En un tercer escenario, algunos grupos de aplicaciones de la tienda Google Play infectadas usaban descargas de carga útil de dos etapas para recuperar la carga útil final. La aplicación infectada de Google Play descarga la carga útil de la etapa uno, que a su vez descarga la carga útil de la etapa dos, que finalmente carga la carga útil final del Joker.

A diferencia de los dos escenarios anteriores, la aplicación infectada se pone en contacto con el servidor C&C para la URL de carga de la etapa uno, que la oculta en el encabezado de ubicación de respuesta.