Il malware Joker è tornato a mietere vittime sul Google Play Store, anche se in realtà possiamo dire che non se ne sia mai andato. Sono i ricercatori di Check Point a metterci in guardia, dato che il famigerato malware persiste a eludere i controlli e a commettere frodi a insaputa degli utenti.
Joker si evolve e continua a truffare gli utenti con abbonamenti premium
Rintracciato per la prima volta nel 2017, Joker è in grado di accedere a notifiche, leggere e inviare SMS in modo autonomo e dal 2019 si sta impegnando in particolar modo per sfruttare le sue capacità di spyware. Queste venivano e vengono usate per far attivare abbonamenti a servizi premium all’insaputa delle vittime.
Come agisce Joker? Questa volta il malware nasconde codice dannoso all’interno del file “Android Manifest” di un’applicazione regolare; si tratta di un file che ogni app deve avere nella sua directory principale e che fornisce al sistema Android informazioni sull’app stessa come nome, icona e permessi vari. Ecco la procedura seguita dal malware, descritta dai ricercatori:
- creazione del payload: Joker costruisce il suo payload in anticipo, inserendolo nel file “Android Manifest”;
- caricamento del payload: durante la valutazione Joker non prova neanche a caricare il payload dannoso, e questo gli permette di superare i controlli del Google Play Store;
- diffusione del malware: dopo l’approvazione il payload dannoso viene deciso e caricato.
Si tratta di un metodo subdolo, che mette in seria difficoltà i controlli attuati da Google all’interno del suo negozio virtuale. Ecco le parole di Pierluigi Torriani, Security Engineering Manager presso Check Point Technologies:
“Joker si è adattato. Lo abbiamo trovato nascosto nel file ‘informazioni essenziali’ che ogni applicazione Android deve avere. Le nostre ultime scoperte indicano che le protezioni del Google Play Store non sono sufficienti. Siamo stati in grado di rilevare numerosi casi di upload di Joker su Google Play su base settimanale, tutti scaricati da utenti ignari. Il malware Joker è difficile da rilevare, nonostante l’investimento di Google nell’aggiunta di protezioni dedicate al Play Store. Sebbene Google abbia rimosso le app dannose, possiamo aspettarci che Joker si adegui nuovamente. Tutti dovrebbero prendersi il tempo necessario per capire cos’è Joker e come può colpire la gente comune.”
Tutte le applicazioni finora segnalate, ben 11 (tra cui quella che vedete qui sopra, anche se purtroppo non abbiamo una lista completa), sono state rimosse dal Google Play Store entro la fine di aprile 2020, ma chi le ha già installate deve fare attenzione. Se sospettate di avere una di queste app sul vostro smartphone Android dovete disinstallarla immediatamente, controllare le fatture e i movimenti di carte di credito e sistemi di pagamento ed eventualmente installare una soluzione di sicurezza.