BeTech: noticias de tecnología

MALWARE

Descubierto el virus Joker en 13 apps Android subidas a Google Play: estas son, bórralas

El temido malware se ha vuelto a colar dentro de las fronteras de la Google Play Store en trece aplicaciones contaminadas.

0
Descubierto el virus Joker en 13 apps Android subidas a Google Play: Estas son, bórralas

Un viejo conocido vuelve. Uno que sigue regresando cada cierto tiempo. Se trata del malware Joker, que sigue infectando aplicaciones que se cuelan en la Google Play Store a pesar de las medidas y barreras de seguridad. 

Joker Returns

Y es que, tras infectar en 2020 a más de 500 mil móviles de la marca Huawei, Joker sigue regresando periódicamente. Y a pesar de la seguridad de la Tienda Android, The Joker ha vuelto conseguir colarse en hasta 13 aplicaciones, algunas de ellas con más de 100.000 descargas. Al igual que las variantes anteriores, también puede suscribir a los usuarios a sitios web que ofrecen servicios de pago, lo que significa que los usuarios se arriesgan a llevarse una gran sorpresa a final de mes cuando el extracto de su cuenta bancaria o tarjeta de crédito llegue al buzón.

De hecho, en el pasado algunas víctimas se han encontrado pagando más de 240 libras (279 euros) al año por estas suscripciones fraudulentas. Una investigadora de malware para Android de Kaspersky, Tatyana Shishkova, ha advertido del resurgimiento del malware en una serie de publicaciones en Twitter, enumerando más de una docena de aplicaciones que, a primera vista, parecen inofensivas, pero que contienen un peligroso malware.

Una de las 13 apps descubiertas (y ya borradas) de la tienda oficial Google

13 apps contaminadas

Google ya ha eliminado estas aplicaciones de la Play Store, pero si tienes alguna de las aplicaciones que aparecen a continuación instalada en cualquiera de tus dispositivos Android deberías eliminarla inmediatamente:

  1. Classic Emoji Keyboard
  2. Battery Charging Animations Battery Wallpaper
  3. Battery Charging Animations Bubble Effects
  4. EmojiOne Keyboard
  5. Easy PDF Scanner
  6. Flashlight Flash Alert On Call
  7. Halloween Coloring
  8. Now QRcode Scan
  9. Dazzling Keyboard
  10. Smart TV remote
  11. Volume Booster Louder Sound Equalizer
  12. Volume Booster Hearing Aid
  13. Super Hero-Effect

Como puede ver, algunas de estas aplicaciones tienen nombres similares. Shiskova advirtió sobre Battery Charging Animations Battery Wallpaper el 4 de noviembre, pero aunque fue eliminada de la Play Store sólo una semana después apareció la aplicación Battery Charging Animations Bubble Effects, de nombre similar, también infectada por el Joker.

Los desarrolladores y los iconos de las aplicaciones no son los mismos, pero el hecho de que el formato de los nombres de los desarrolladores utilizados sea tan similar: Erica E. Guel y Charles M. Roseman sugiere que son las mismas personas las que están detrás. De hecho, la mayor parte de esta lista de aplicaciones utiliza el mismo formato de nomenclatura.

Malware Joker

Bautizado como uno de los villanos de comics más esenciales y auténtico icono de la cultura popular -y además de moda por la película homónima que está arrasando en premios-, The Joker es un malware que ha logrado colarse en muchas aplicaciones dentro de la Google Play Store de Android. El virus actúa en 2 fases, y su peligro no es solamente que te roba los datos, sino que también te roba dinero en tiempo real. Así actúa:

Fase 1

  • Infección del dispositivo usando malware para integrarse en el sistema
  • Identificación del país en el que se encuentra el terminal
  • Comunicación Mando y Control C&C con los hackers al mínimo, lo justo para recibir la configuración cifrada

Fase 2:

  • Descifrado del archivo DEX -un archivo ejecutable guardado en un formato que contiene código compilado escrito para Android- y carga de este.
  • Robo de mensajes SMS, de datos de quien nos envía el mensaje
  • Robo de la lista de contactos y datos del dispositivo
  • Interacción con webs de publicidad para sacar dinero a través del móvil infectado

Un malware que te roba dinero

Lo peor de esa segunda fase es que el malware Joker empieza a interactuar con websites de anuncios, usando códigos de autorización para suscripciones premium de esas páginas y simulando clicks en banners y demás, o sea: apuntándonos en servicios publicitarios que no hemos pedido. A través de esta técnica, Joker puede hacerse con hasta 6,71 euros a la semana en países como Dinamarca gracias a la automatización del proceso de interactuar con la oferta premiun de una web en concreto.

De cara a maximizar sus ataques pero minimizar sus riesgos de ser pillado, The Joker solamente actúa en un determinado número de países -España incluída. De hecho, muchas de las apps infectadas con este malware poseen una MCC, una lista de códigos de móviles de países, para saber en cuál está operando. Si usas una SIM de uno de los países en el listado, se activa la fase 2 del virus, la que implica los SMS, datos y la acción monetaria.

La mayoría de aplicaciones comprometidas actúan en países de Europa y Asia, y tienen una comprobación adicional para evitar hacerlo en los Estados Unidos o Canadá, aunque algunas apps sí infectan tarjetas SIM norteamericanas.