Joker Malware evita Playstore para infectar teléfonos inteligentes Android

Los investigadores de Check Point han descubierto que el malware Joker infecta los teléfonos Android de una nueva forma. El malware Joker ahora ha evolucionado para usar el archivo de manifiesto de la aplicación para recuperar un archivo DEX malicioso y ocultarlo en cadenas Base64. Esto se utilizó para inscribir a los usuarios en suscripciones premium y ganar dinero.

El malware Joker se propaga a través de Playstore

El malware Joker persiste en Android desde 2017. Este malware (también conocido como Bread) ha sido observado por varios investigadores como Dr. Web, CSIS, Kaspersky, Trend Micro, etc. de muchas maneras. Aunque Google está ajustando las reglas de Playstore con regularidad, el malware Joker siempre está evolucionando con nuevas técnicas para eludir estos controles.

Malware de Joker
Malware de Joker

Ahora, de acuerdo con Investigadores de Check Point, Se ve que el malware Joker explota un recurso legítimo llamado archivo de manifiesto de la aplicación, que almacenaría los metadatos de la aplicación. Esto se usó para cargar el archivo DEX codificado en Base64, además, otra versión identificada está ofuscando el archivo DEX malicioso en cadenas de Base64, evitando así cualquier análisis antivirus.

Una vez que se ha establecido en el dispositivo, hace lo que ha estado haciendo toda la familia Joker desde 2017: suscribirse a servicios no deseados. El malware Joker aquí está utilizando el oyente de notificaciones y el archivo DEX dinámico obtenido del servidor C2 del pirata informático y se suscribe al host (víctima) de servicios premium desconocidos, ganando comisiones.

El atacante aquí tiene la opción de enviar un código de estado falso para terminar la actividad de cualquier cosa que parezca incorrecta. Los investigadores de Check Point han Encontré 11 aplicaciones utilizando esta técnica e informó a Google, que recientemente ha eliminado estas aplicaciones. Los autores de malware Joker son lo suficientemente inteligentes como para infectar dispositivos Android.

Siguen técnicas como crear comentarios falsos positivos en Playstore para ganarse la confianza del objetivo, cifrar su carga útil maliciosa para evitar la detección e incluso el control de versiones, un método en el que una aplicación limpia se envía para su revisión y descarga al usuario y envía cargas a través de actualizaciones posteriores. Compruebe si hay aplicaciones maliciosas que soliciten permisos con regularidad y se suscriban a servicios no deseados.