Joker is back!

Joker is back!

Fonte Forbes Int.


Il pericoloso malware per Android è ritornato sfidando la protezione di Google Play Store. L'anno scorso Google ha avvisato gli utenti che questo pericoloso malware ha utilizzato praticamente ogni tecnica di occultamento e offuscamento per non essere rilevato. Non è sorprendente, quindi, che Joker abbia appena trovato un altro modo per iserirsi nel Play Store. L'ultimo allarme è stato lanciato dal team di Check Point, che ha avvertito che "Joker è una delle minacce più sofisticate del suo genere che abbiamo mai visto." A febbraio Joker aveva infettato oltre 300.000 dispositivi solo un mese dopo che Google aveva eliminato dal suo Play Store circa 1700 app con malware. Le vittime vengono abbonate a servizi fraudolenti o compongono numeri di testo e numeri premium. L'eliminazione delle app dannose non è sufficiente: gli utenti devono rintracciare gli addebiti errati e annullare i servizi. Check Point riferisce che Joker ha trovato stavolta un nuovo nascondiglio "per aggirare di nuovo la protezione del Google Play Store". In realtà si tratta di una vecchia tecnica” spiega Check Point, "utilizzata per evitare il rilevamento da parte di Google".

Quindi, come funziona? Joker ora si nasconde nel file manifest delle app infette, cioè il file che deve avere ogni app Android, in cui lo sviluppatore dichiara le autorizzazioni necessarie, l'utilizzo dei servizi, ecc. L’hacker ha spinto la codifica malevola sotto forma di payload nei campi "metadati" appartenenti a quel file, da decodificare e caricare solo sul dispositivo di una vittima. In questo modo nessuna configurazione o payload deve essere estratto da Internet. Ogni volta che Joker viene rilevato, i campioni e i metodi vengono aggiunti all'elenco utilizzato da Google per schermare le app del Play Store che si attivano per identificare le minacce. E così anche se la funzionalità principale di Joker rimane la stessa, i suoi metodi devono cambiare. Questa volta, "sta nascondendo il suo file dex dannoso all'interno dell'applicazione sotto forma di stringhe con codifica Base64, in attesa di essere decodificato e caricato.

Google ha informato di avere rimosso dal Play Store, le app che conducevano all’errore, ma Check Point avverte che potrebbero essercene ancora altre. Per gli utenti, la cattiva notizia è che non sapranno di essere stati infettati. Dovranno tenere d'occhio “strani servizi di fatturazione a cui non si sono abbonati”. Come spiega Check Point, "Joker rileva il paese in cui si trova un utente, quindi identifica i servizi premium pertinenti accessibili da quella posizione ... Il malware registra il numero di telefono di un utente nel servizio premium, in attesa di verifica tramite SMS. Tramite le autorizzazioni SMS, il malware legge il codice e lo inserisce nella pagina di verifica per il servizio premium. Con le stesse autorizzazioni SMS, elimina l'SMS in modo che l'utente non venga avvisato. Il risultato finale è che il malware si iscrive a un nuovo servizio senza che un utente lo sappia ”.

Joker è l’immagine perfetta della sfida di Google. Cerca più rapidamente possibile di rendere il Play Store più sicuro, gli hacker reagiscono e rispondono, provando più metodi e tecniche per testare le difese e trovare la strada per violare.Per ogni campagna, gli attaccanti devono solo avere successo con uno di questi metodi, mentre le difese di Google devono innalzarsi ogni volta.

Joker non se ne sta andando. Ciò significa che gli utenti devono essere vigili, guardare ciò che scaricano e controllare periodicamente le dichiarazioni di fatturazione per i servizi a cui apparentemente si sono registrati. Le protezioni di Google Play Store non sono sufficienti, sebbene Google abbia rimosso le app dannose dal Play Store, possiamo aspettarci che Joker si adatti nuovamente. Tutti dovrebbero prendersi il tempo di capire cos'è Joker e come può nuocere alla gente comune. "

Per visualizzare o aggiungere un commento, accedi

Altri articoli di Annalisa Mugheddu

Altre pagine consultate