iStock/Jirsak

Google a veces tiene dificultades para mantener el malware fuera de su tienda de aplicaciones móviles. Aunque la empresa usa Google Play Protect para escanear y verificar aplicaciones que contienen malware, los ciberdelincuentes inteligentes pueden encontrar formas de eludir estas defensas.

Siempre una espina en el costado de Google, el malware Joker llegó como una nueva variante hace unos meses y evadió Google Play Protect para infectar aplicaciones legítimas e inscribir a las personas en servicios premium. Una publicación de blog publicada el jueves por el proveedor de inteligencia de amenazas cibernéticas Check Point Research explica cómo funcionó esta nueva versión y qué hacer si cree que una de las aplicaciones aún puede estar en su dispositivo Android.

VER: Los mejores consejos de seguridad de Android (PDF gratuito) (República Tecnológica)

Descubierto por Check Point, el malware era una nueva versión del spyware Joker Dropper y Premium Dialer. Escondiéndose en aplicaciones legítimas, esta nueva versión logró descargar malware adicional en dispositivos Android. Una vez instalada, esta variante de Joker suscribiría a los usuarios a servicios premium sin su aprobación como un excelente ejemplo de fraude en la facturación.

Los investigadores de Check Point divulgaron sus hallazgos a Google, que eliminó 11 aplicaciones identificadas de Google Play antes del 30 de abril de 2020. Sin embargo, el descubrimiento muestra que la protección de Play Store de Google puede ser engañada por delincuentes inteligentes y piratas informáticos que saben cómo crear programas que ocultan sus malevolencia.

En este caso, la nueva variante de Joker utilizó dos componentes para dar de alta a las personas como suscriptores de servicios premium de pago. Uno de los componentes fue el servicio de escucha de notificaciones, que se utiliza para conocer todas las notificaciones push recibidas en el dispositivo.

El otro componente era un archivo dex dinámico cargado desde el servidor de comando y control para registrar al usuario en servicios premium. Un archivo dex, o archivo ejecutable Dalvik, contiene código diseñado para ser ejecutado por el entorno de tiempo de ejecución de Android. Para ocultar los objetivos reales del malware, el hacker ocultó el archivo dex mientras se aseguraba de que pudiera cargarse.

En pocas palabras, Joker trabajó en tres etapas distintas:

  • Construya la carga útil primero. Joker crea su carga útil de antemano insertándola en el archivo de manifiesto de Android.
  • Omitir la carga de la carga útil. Durante el período de prueba, Joker ni siquiera intenta cargar la carga útil maliciosa, lo que hace que sea mucho más fácil eludir las protecciones de Google Play Store.
  • El malware se está propagando. Después del período de evaluación y la aprobación de la aplicación, la campaña comienza a funcionar cargando la carga útil maliciosa.

Check Point proporcionó a TechRepublic los nombres de los paquetes y los nombres de Google Play para cada una de las 11 aplicaciones infectadas:

  1. com.imagecompress.android - Comprimir imagen
  2. com.contact.withme.texts – Mensaje de contacto
  3. com.hmvoice.friendsms - SMS de amigos
  4. com.relax.relaxation.androidsms – Mensaje de relajación
  5. com.cheery.message.sendsms – Mensaje alegre
  6. com.cheery.message.sendsms – Mensaje alegre
  7. com.peason.lovinglovemessage – Mensaje de amor
  8. com.file.recovefiles – Recuperación de archivos
  9. com.LPlocker.lockapps - Casillero de aplicaciones
  10. com.remindme.alram - Recordatorio de alarma
  11. com.training.memorygame – Juego de memoria

“Joker se ha adaptado”, dijo Aviran Hazum, jefe de investigación móvil de Check Point, en un comunicado de prensa. "Lo encontramos escondido en el archivo de 'información esencial' que toda aplicación de Android debe tener. Nuestros últimos hallazgos indican que las protecciones de Google Play Store no son suficientes. Pudimos detectar muchos casos de descargas semanales de Joker en Google Play, todos que fueron subidos por usuarios desprevenidos.

"El malware Joker es difícil de detectar a pesar de la inversión de Google en agregar protecciones de Play Store. Aunque Google eliminó las aplicaciones maliciosas de Play Store, podemos esperar que Joker se adapte nuevamente. Todos deberían tomarse el tiempo para comprender qué es Joker y cómo duele. la gente común.

Para los usuarios de Android que sospechan que pueden tener una o más de las aplicaciones infectadas, Check Point ofrece los siguientes tres consejos:

  1. Desinstale la aplicación infectada de su dispositivo.
  2. Verifique las facturas de su teléfono celular y tarjeta de crédito para ver si se ha registrado para suscripciones y cancele la suscripción si es posible.
  3. Instale una solución de seguridad para prevenir futuras infecciones.