El malware de Android &#39Joker&#39 hace otro truco para aterrizar …



Los autores del malware, que suscribe a los usuarios móviles para servicios high quality, están encontrando repetidamente formas de evitar las revisiones de las aplicaciones.

Los autores de una familia de malware Android particularmente persistente llamada «Joker» han encontrado una vez más una forma de introducir su producto en la tienda oficial de aplicaciones móviles Participate in de Google.

El malware (también conocido como «Pan») es conocido por suscribir usuarios móviles a contenido high quality sin su conocimiento y ha estado flotando desde al menos principios de 2017.

Investigadores de seguridad de Google descrito previamente Joker como malware que fue originalmente diseñado para el fraude de SMS pero que ahora se united states para el fraude de facturación a gran escala. Según la compañía, los creadores de Joker «en algún momento han utilizado casi todas las técnicas de ocultación y ofuscación bajo el sol en un intento de pasar desapercibidas».

Según los investigadores de Test Level, el último gambito para infiltrar a Joker en la Perform store en realidad implica una vieja técnica utilizada en el panorama convencional de amenazas para Personal computer.

Aviran Hazum, líder del equipo de inteligencia de amenazas y malware móvil de Examine Place, dice que los autores de Joker superaron los controles de seguridad de Google esta vez al ocultar la carga maliciosa en un archivo llamado «Manifiesto de Android».

«Sin este archivo, una aplicación (Android) no se puede instalar o ejecutar», dice.

En lugar de hacer que el cuentagotas Joker descargue la carga maliciosa de un servidor remoto de comando y regulate, la versión más reciente solo lee los campos insertados por el desarrollador en el archivo Manifiesto, dice. La carga no se ejecutó, ni se decodificó, mientras la aplicación pasó por el proceso de inspección de seguridad de Google cuando se cargó en Play Retail outlet.

«Entonces, el malware pudo evitar la inspección de Google», dice Hazum. «En typical, Joker no es un malware fácil de detectar, y además el actor está haciendo esfuerzos constantes para evitar esas protecciones».

Otros trucos que Joker ha empleado para evadir la detección incluyen controles de geolocalización para atacar o evitar países específicos y la implementación de comportamientos maliciosos en el código nativo.

Según Google, a partir de enero de 2020, los controles de seguridad de la tienda de aplicaciones móviles Perform de la compañía habían detectado y eliminado al menos 1.700 aplicaciones únicas de Android que contenían Joker.

En el pasado, los creadores de Joker han ocultado el malware en aplicaciones aparentemente legítimas, como filtros, animaciones y otras aplicaciones de cámara. Esta vez, el malware estaba oculto en un program que se hacía pasar por aplicaciones de mensajería para Android.

«Las aplicaciones en sí no son legítimas, son creadas por actores», dice Hazum. «Pero sí proporcionan algún tipo de funcionalidad».

Problema persistente
Una vez que la aplicación falsa se instala en un sistema, utiliza el código descargado de un servidor de comando y manage para registrar a los usuarios en los servicios premium. Luego aprovecha una función de Android llamada «Escucha de notificaciones» para interceptar y eliminar silenciosamente cualquier notificación de confirmación de registro que pueda enviarse al dispositivo del usuario desprevenido.

«Notification Listener es un servicio que es llamado por el sistema operativo cada vez que ocurre un evento de notificación», dice Hazum.

Al utilizar el servicio, Joker puede leer el contenido de todas las notificaciones entrantes, incluidas las notificaciones por SMS. Esto permite que el malware intercepte y elimine cualquier código de verificación de registro que pueda enviarse al usuario de Android, manteniéndolo en la oscuridad sobre lo que acaba de suceder, anotó.

Tanto Google como Apple han dedicado considerables esfuerzos a implementar controles de seguridad en capas para evitar que los desarrolladores carguen aplicaciones cargadas de malware en sus respectivas tiendas de aplicaciones móviles. Los investigadores de seguridad generalmente están de acuerdo en que los esfuerzos de revisión de aplicaciones han hecho que las tiendas, particularmente Apple Application Retail store, sean considerablemente más seguras en los últimos años. El número de aplicaciones maliciosas, como proporción del número full de aplicaciones en estas tiendas de aplicaciones, sigue siendo muy pequeño.

Aun así, los malos actores han podido continuar cargando program malicioso, principalmente a Google Participate in, con relativa frecuencia. En 2019, por ejemplo, RiskIQ detectó 25,647 aplicaciones en Google Engage in Retailer como maliciosas. Aunque el número representó una disminución de más del 76% de las 108,770 aplicaciones maliciosas detectadas en 2018, aún presentaba un riesgo para los usuarios que confiaban en la seguridad de la tienda.

«Google y Apple invierten mucho en investigación de seguridad, pero eso no es suficiente», dice Hazum. «Como hemos demostrado una y otra vez, el malware todavía puede eludir la seguridad del mercado», dice. «Las vulnerabilidades de seguridad se descubren de manera constante, y si su dispositivo no está parcheado, usted es susceptible».

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia unique