• TECNOVAN LATAM es ciberseguridad en Latinoamérica.
Linkedin X-twitter Facebook Youtube

La nueva variante del infame malware Joker de Android omite la seguridad de Google Play para atacar a los usuarios.

El malware Joker detectado a principios de junio de 2019, emplea varias tácticas para eludir la protección de GooglePlay y realizar varias actividades maliciosas.

El malware solía esconderse dentro de diferentes aplicaciones y una vez que los usuarios lo descargaban al teléfono se infectaban con el malware Joker.

Su objetivo es robar dinero del usuario al firmar suscripciones pagas, interactúa con los mensajes SMS del usuario, las listas de contactos y otros datos del dispositivo.

Anteriormente se observó que el malware Joker oculto con 24 aplicaciones diferentes, todas las aplicaciones han sido reportadas a Google y eliminadas de la tienda.

Nueva variante Joker

Los investigadores de Check Point descubrieron una nueva variante del spyware Joker Dropper y Premium Dialer en Google Play oculto con 11 aplicaciones que se eliminaron de Google Play el 30 de abril de 2020.

La versión actualizada del malware Joker se esconde detrás de aplicaciones legítimas y descarga malware adicional en el dispositivo.

“Esta vez, sin embargo, el actor malicioso detrás de Joker adoptó una técnica antigua del panorama de amenazas de PC convencional y la usó en el mundo de las aplicaciones móviles para evitar ser detectado por Google”.

El malware Joker utiliza el servicio Notification Listener y un archivo dex dinámico cargado desde el servidor C&C para suscribirse a los usuarios para los servicios premium.

El nuevo malware también verifica el flujo malicioso cada vez al crear un nuevo objeto que se comunica con los C&C para verificar si la campaña aún estaba activa.

Para minimizar la huella dactilar del Joker, los actores maliciosos cargaron el archivo dex dinámico “a la vista mientras se aseguraban de que se pueda cargar, una técnica que los desarrolladores de malware para PC con Windows conocen bien”.

La nueva variante del malware oculta su archivo dex malicioso dentro de la aplicación como cadenas codificadas Base64, listas para ser decodificadas y cargadas.

La nueva variante también contiene el código del malware Joker original en su archivo dex principal “el registro del servicio NotificationListener, la suscripción del usuario a servicios premium y más”.

Aquí puede encontrar los nombres de paquetes de 11 aplicaciones maliciosas que ocultan una nueva variante de Joker.

Si ha instalado alguna de las aplicaciones maliciosas, se recomienda eliminarlas de inmediato y verificar sus facturas de tarjetas de crédito y móviles por cargos no deseados.