Investigadores de seguridad descubrieron un nuevo troyano de Android con cuentagotas de malware y capacidades de spyware en 24 aplicaciones de Google Play Store con más de 472,000 descargas en total.
El nuevo malware de Android denominado 'Joker' está oculto dentro de los marcos publicitarios utilizados por las aplicaciones comprometidas, algunas con más de 100,000 instalaciones, y está diseñado para descargar un componente de segunda etapa como un archivo DEX que agrega más capacidades.
Este componente malicioso adicional que simula la interacción del usuario en los sitios de anuncios y también recopilará la información del dispositivo, la lista de contactos y los mensajes de texto de sus víctimas.
"La interacción automatizada con los sitios web de publicidad incluye la simulación de clics y la introducción de los códigos de autorización para suscripciones de servicios premium", como descubrió recientemente CSIS Security Group.
Joker utiliza su módulo de recopilación de SMS para inscribir a sus víctimas en suscripciones premium utilizando los códigos de autorización extraídos automáticamente de los mensajes de texto de autorización.
Solo los usuarios de Android de una lista muy específica de países están actualmente en la mira del Joker Trojan, incluidos, entre otros, Australia, Francia, Alemania, India, el Reino Unido y los EE. UU., Con la gran mayoría de las aplicaciones infectadas encontradas por los investigadores que contienen una lista codificada de códigos de país móviles.
El malware compara el código de país de la tarjeta SIM con la lista codificada para verificar si la víctima es de los países objetivo y el componente de la segunda etapa que se eliminará.
Sin embargo, "la mayoría de las aplicaciones descubiertas tienen una verificación adicional, que asegurará que la carga útil no se ejecute cuando se ejecute dentro de los Estados Unidos o Canadá".
Los operadores de la campaña también envían comandos y código para que se ejecuten mediante devoluciones de llamada de JavaScript a Java en dispositivos comprometidos, una técnica utilizada para proteger al troyano contra el análisis estático.
Un método adicional que dificulta el análisis es el uso de "esquemas personalizados de ofuscación de cadenas para todos los procedimientos de configuración
El componente de la segunda etapa de Joker comprueba periódicamente si hay nuevos comandos para ejecutar al comunicarse con su servidor de comando y control (C2) en función de un programa predefinido y procederá a abrir los dominios con ofertas premium enviadas por los operadores de la campaña.
Los códigos de autorización para inscribir a sus víctimas en varias suscripciones pagas se obtienen interactuando con las páginas de ofertas premium o enviando mensajes de texto a los números premium utilizando los códigos de oferta que se encuentran en las páginas de publicidad; también se exfiltrarán a los servidores C2 por una razón aún desconocida.
Este componente malicioso también es el responsable de recopilar todos los contactos de la víctima de la libreta de direcciones del teléfono, contactos que se enviarán en forma cifrada a los servidores de almacenamiento de datos de los atacantes.
Si bien Joker comenzó a estar activo a principios de junio en función de la información de metadatos DNS relacionada con su actividad, "los dígitos de la versión principal en los nombres de compilación dan la impresión de un ciclo de vida un poco más largo, potencialmente con más campañas en el pasado".
Google ha eliminado todas las aplicaciones infectadas con Joker de Play Store mientras CSIS Security Group estaba analizando la actividad del troyano sin que los investigadores tuvieran que informar sobre ninguna de ellas.
Esto muestra que la protección contra malware incorporada de Google Play Protect y los investigadores de seguridad de Google pueden descubrir y eliminar activamente cepas de malware previamente no detectadas de Play Store, aunque algunas se escabullen sin ser detectadas de vez en cuando.
Por ejemplo, durante el mes pasado, los investigadores detectaron un módulo malicioso Trojan Dropper oculto dentro de la aplicación de Android CamScanner que los usuarios de Google Play Store descargaron más de 100 millones de veces.
Anteriormente, un troyano clicker incluido en más de 33 aplicaciones con otros 100 millones de descargas también se distribuía a través de la tienda oficial de Android de Google, al igual que una aplicación de Android con capacidades de spyware prestada del código abierto AhMyth Android RAT dos veces durante un período de dos semanas.
Fecha actualización el 2021-09-05. Fecha publicación el 2019-09-05. Categoría: facebook Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil