Un nuevo conjunto de apps con el troyano Joker resurge en Google Play Store

Investigadores de seguridad observaron un nuevo conjunto de aplicaciones troyanizadas que se difunden a través de Google Play Store y distribuyen el notorio malware Joker en dispositivos Android comprometidos.

Joker, un troyano reincidente, se refiere a una clase de aplicaciones dañinas que se utilizan para la facturación y el fraude de SMS, al mismo tiempo que realizan una serie de acciones elegidas por un pirata informático malicioso, como robar mensajes de texto, listas de contactos e información del dispositivo.

A pesar de los intentos continuos por parte de Google para ampliar sus defensas, las aplicaciones se han iterado continuamente para buscar brechas y pasar desapercibidas a la tienda de aplicaciones.

«Por lo general, se difunden en Google Play, donde los actores maliciosos descargan aplicaciones legítimas de la tienda, les agregan un código malicioso y las vuelven a cargar en la tienda con un nombre diferente», dijo el investigador de Kaspersky Igor Golovin en un informe publicado.

Las aplicaciones troyanizadas, que reemplazan a sus contrapartes eliminadas, a menudo aparecen como aplicaciones de mensajería, seguimiento de salud y escáner de PDF que, una vez instaladas, solicitan permisos para acceder a mensajes de texto y notificaciones, abusando de ellos para suscribir a los usuarios a servicios premium.

Un truco disimulado utilizado por Joker para eludir el proceso de investigación de Google Play es hacer que su carga útil maliciosa esté «inactiva» y solo active sus funciones después de que las aplicaciones se hayan activado en Play Store.

Tres de las aplicaciones infectadas con Joker detectadas por Kaspersky hasta finales de febrero de 2022 se enumeran a continuación. Aunque se han eliminado de Google Play, siguen estando disponibles a través de proveedores de aplicaciones de terceros.

  • Mensaje de estilo (com.stylelacat.messagearound),
  • Aplicación de presión arterial (blood.maodig.raise.bloodrate.monitorapp.plus.tracker.tool.health), y
  • Escáner PDF de la cámara (com.jiao.hdcam.docscanner)

Esta no es la primera vez que se descubren troyanos de suscripción en los mercados de aplicaciones. El año pasado, las aplicaciones para la tienda de aplicaciones APKPure y un mod de WhatsApp ampliamente utilizado se encontraron comprometidos con un malware llamado Triada.

Luego, en septiembre de 2021, Zimperium reveló un plan agresivo para ganar dinero llamado GriftHorse, y lo siguió con otro caso de abuso de servicio premium llamado Dark Herring a principios de enero.

«Los troyanos de suscripción pueden eludir la detección de bots en sitios web de servicios pagos y, a veces, suscriben a los usuarios a los servicios inexistentes de los estafadores», dijo Golovin. «Para evitar suscripciones no deseadas, evite instalar aplicaciones de fuentes no oficiales, que es la fuente más frecuente de malware».

Incluso cuando descargan aplicaciones de las tiendas de aplicaciones oficiales, se recomienda a los usuarios que lean las reseñas, verifiquen la legitimidad de los desarrolladores, los términos de uso y solo otorguen los permisos que sean esenciales para realizar las funciones previstas.

«El malware Joker es un claro ejemplo del juego del gato y el ratón que ha ocurrido durante años entre las capas de seguridad y los actores maliciosos detrás de él», dijo Richard Melick, director de informes de amenazas de Zimperium, en un comunicado compartido con The Hacker News.

«Con cada actualización, se demuestra una y otra vez que la seguridad básica y la administración de dispositivos móviles no son suficientes. Confiando en la suplantación de identidad y la clonación de aplicaciones, Joker continúa pasando por iteraciones de actualizaciones y avances para poder superar la seguridad básica y OEM, dejando en riesgo a los terminales móviles y a los usuarios».