Joker: torna il malware che bypassa le protezioni di Google Play Store

Google ha rimosso dal Play Store Android 11 applicazioni compromesse dajoker. il malware identificato e monitorato per la prima volta tre anni fa e descritto da Google come una delle minacce pic: persistenti che abbia dovuto affrontare dal 2017.joker é una combinazione di spyware e app dialer premium che si nasconde a||’interno di app dal|’aspetto Iegittimo. adesempio download di sfondi apparentemente innocui. Tuttavia. una volta installato sul dispositivo della vittima, puo accederealle not1’fiche.leggere e inviare SMS. Utilizza queste funzionalita per abbonare Ie vittime a servizi a tariffa premium.Secondo Aviran Hazum di Check Point che é stato sulle sue tracce per un po’ di tempo,joker ha recentemente avuto unaggiornamento e ora implementa un nuovo metodo in base al quale nasconde il codice dannoso al|’interno del file “Android Manifest” di un’app regolare. Ogni app deve avere un file “Android Manifest“ nella sua directory principale. Questo file fornisce al sistema Android informazioni essenziali su un’app, come nome, icona e permessi, che il sistema deve ricevere prima di poter eseguire qualsiasi codice. In questo modo. ha affermato Hazum.Joker non ha bisogno di accedere a un server di comando e controllo (C2) per scaricare il suo payload dannoso, perché il payload is ora precompilato e pronto per |’uso. Cio ha l’effetto di rendere molto pit: facile per joker scivolare inosservato oltre le protezioni del Google Play Store.

ll responsabile della ricerca mobile di Check Point afferma, quindi. che il nuovo metodo di infezione utilizzato da joker

comprende i seguenti tre passaggi:

1. Creazione del payload : joker crea in anticipo i/ suo payload, inserendolo nel file manifest di Android.
2. Mancato caricamento del payload : durante il periodo di va/utazione, joker non tenta nemmeno di
caricare il payload dannoso, il che rende mo/to piL‘/ facile bypassare le protezioni di Google Play Store.

3. Diffusione ma/ware : dopo il periodo di valutazione, dopo che é stata approvata, la campagna inizia a
funzionare, il payload dannoso viene deciso e caricato ‘joker adattatoi ha detto Hazum. “L‘abbiamo trovato nascosto nel file”informazioni essenziali “che ogni applicazi0neAndroid deve avere. I nostri ultimi risultati indicano che le protezioni di Google Play Store non sono sufflcienti. Siamo stati in grado di rilevare numerosi casi di caricamenti di joker su base settimanale su Google Play, che sono stati tutti scaricati da utenti ignari. II malware joker e difflcile da rilevare, nonostante l’investimento di Google nell’aggiunta delle protezioni del Play Store. Sebbene
Google abbia rimosso le app dannose dal Play Store, possiamo aspettarci che joker si adatti di nuovo. Tutti dovrebbero prendersi il tempo per capire cos’e joker e come fa male alla gente comune. ”

Hazum ha consigliato agli utenti Android cosa fare se ritengono di avere un’app infetta da joker sul proprio
dispositivo. lnnanzitutto. disinstalla l’app immediatamente, prima di controllare le fatture di carte mobili e carte di credito pervedere se sei stato registrato per eventuali abbonamenti che non riconosci, ed essere pronto a cancellarli e/o contestarli.

 

Fonte :https://www.cybertrends.it
wpChatIcon
wpChatIcon