Joker Malware è tornato: ecco cosa devi sapere per rimanere protetto
Pubblicato: 2021-06-28Il non divertente Joker è tornato. Qui non ci riferiamo al Joker che ti fa sorridere. Invece, stiamo parlando del brutto malware che ruba le tue informazioni. E questa volta (secondo Quick Heal Security Labs) ha infettato otto nuove app su Google Play Store. Individuato da qualche parte intorno al 2017, il malware Joker è stato trovato infettando fino a 40 app Android.
Ma cos'è il malware Joker e come funziona? C'è un modo per proteggersi? Per saperne di più leggi oltre.
Cos'è il malware Joker?
Avvistato nelle app di Google Play Store negli ultimi tre anni, Joker appartiene a una delle famose famiglie di malware che prendono di mira i dispositivi Android. Non è che Google non sia a conoscenza di questo malware o non stia intraprendendo alcuna azione. Eppure il malware è abbastanza intelligente da farsi strada nel mercato delle applicazioni ufficiali di Google. Per infettare le applicazioni, il malware Trojan modifica il codice, i metodi di esecuzione o le tecniche di recupero del carico utile.
Lo scopo principale di questo spyware è quello di iscrivere silenziosamente le vittime a servizi WAP (Wireless Application Protocol) premium, rubare elenchi di contatti, messaggi SMS e informazioni sui dispositivi.
Come funziona il malware Joker?
Per rubare informazioni, infettare il dispositivo e indurre le persone ad abbonarsi ad abbonamenti premium senza conoscenza e consenso, Joker Malware entra nel dispositivo tramite diverse applicazioni e quindi esegue silenziosamente tutte le attività. Soprattutto, il Trojan interagisce con i siti Web pubblicitari in background e iscrive la vittima a servizi premium.
Quando queste applicazioni infette vengono avviate, viene richiesta l'autorizzazione per l'accesso alle notifiche, questo aiuta a ricevere notifiche e dati SMS tramite la notifica. Successivamente, Joker Malware chiede l'accesso ai Contatti seguito dall'autorizzazione alla gestione delle telefonate. Una volta concesse tutte le autorizzazioni richieste, il malware Trojan continua a funzionare in background senza mostrare alcun segno di attività dannosa all'utente.
Leggi anche: Cos'è FileRepMalware? Come puoi sbarazzartene?
Cosa rende Joker così pericoloso?
Come il Joker della serie Batman, anche questo Joker è inquietante e pericoloso.
Poiché l'applicazione infetta viene utilizzata dalla vittima, il malware Joker inizia a spiare il telefono, ruba informazioni e le invia agli hacker in remoto. Joker copia anche messaggi di testo SMS, elenchi di contatti e condivide informazioni private riservate che vengono quindi utilizzate per eseguire furti di identità, frodi e altre attività di hacking.
La cosa più allarmante di Joker è che è in grado di registrare automaticamente i dispositivi infetti per i servizi WAP (Wireless Application Protocol) premium. Questo può costare molto agli utenti al mese.
Perché Joker Malware sta facendo notizia?
Ultimamente, secondo un nuovo rapporto di Quick Heal, lo spyware sta infettando otto nuove app Android.
Di seguito è riportato l'elenco delle app infette:
- Messaggio ausiliario
- SMS magici veloci
- Scanner fotografico gratuito
- Super messaggio
- Scanner di elementi
- Vai Messaggi
- Sfondi di viaggio
- Super SMS
Nel caso in cui tu abbia scaricato e utilizzi una di queste app, ti consigliamo di disinstallarle poiché il tuo dispositivo e la tua privacy potrebbero essere a rischio.
Oltre a questo, altre app risultate infette sono:
- Tutto buono scanner PDF
- Messaggio di foglie di menta: il tuo messaggio privato
- Tastiera unica: caratteri fantasiosi ed emoticon gratuite
- Blocco app Tangram
- Messaggero diretto
- SMS privati
- Traduttore di una frase – Traduttore multifunzionale
- Collage di foto in stile
- Scanner meticoloso
- Desiderio Traduci
- Talent Photo Editor: sfocatura della messa a fuoco
- Messaggio di cura
- Messaggio di parte
- Scanner per documenti cartacei
- Scanner blu
- Convertitore PDF Colibrì: da foto a PDF
- Detergente potente
(Al momento in cui scrivo, tutte queste app sono state rimosse dal Google Play Store.)
Sintomi – Joker Malware
- Il dispositivo rallenta più del normale.
- Le impostazioni di sistema vengono modificate senza il permesso degli utenti.
- Diverse applicazioni sconosciute vengono visualizzate sul tuo dispositivo Android.
- L'utilizzo di dati e batteria aumenta notevolmente.
- I browser ti reindirizzano a siti Web canaglia.
- Vedi diversi annunci intrusivi che prima non c'erano.
Danni causati da Joker Malware
- Ruba informazioni personali tramite SMS
- Diminuzione delle prestazioni del telefono
- La batteria si scarica più velocemente del solito
- Una notevole diminuzione della velocità di Internet
- Dati significativi e perdite monetarie
Tattiche utilizzate dall'autore del malware Joker per aggirare la sicurezza di Google Play
Download diretto
Il payload finale viene consegnato tramite un URL diretto ricevuto dal server di comando e controllo (C&C). In questa variante, l'app Google Play Store infetta ha l'indirizzo C&C nascosto nel codice stesso con offuscamento della stringa.
Download in una fase
L'app Google Play Store infetta ha l'URL del payload dello stager codificato nel codice stesso crittografato utilizzando Advanced Encryption Standard (AES).
Download in due fasi
L'app infetta di Google Play scarica il payload della fase uno, che scarica il payload della fase due, che infine carica il payload finale di Joker.
CIO
App infette su GooglePlay:
| MD5 | Nome del pacchetto |
|---|---|
| 2086f0d40e611c25357e8906ebb10cd1 | com.carefrendly.message.chat |
| b8dea8e30c9f8dc5d81a5c205ef6547b | com.docscannercamscanpaper |
| 5a5756e394d751fae29fada67d498db3 | com.focusphoto.talent.editor |
| 8dca20f649f4326fb4449e99f7823a85 | com.language.translate.desiderio.voicetranlate |
| 6c34f9d6264e4c3ec2ef846d0badc9bd | com.nightsapp.translate.frase |
| 04b22ab4921d01199c9a578d723dc6d6 | com.password.quickly.applock |
| b488c44a30878b10f78d674fc98714b0 | com.styles.simple.photocollage.photos |
| a6c412c2e266039f2d4a8096b7013f77 | com.unique.input.style.my.keyboard |
| 4c5461634ee23a4ca4884fc9f9ddb348 | dirsms.welcome.android.dir.messenger |
| e4065f0f5e3a1be6a56140ed6ef73df7 | pdf.converter.image.scanner.files |
| bfd2708725bd22ca748140961b5bfa2a | message.standardsms.partmessenger |
| 164322de2c46d4244341e250a3d44165 | mintleaf.message.messenger.tosms.ml |
| 88ed9afb4e532601729aab511c474e9a | omg.documents.blue.pdfscanner |
| 27e01dd651cf6d3362e28b7628fe65a4 | pdf.maker.scan.image.phone.scanner |
| e7b8f388051a0172846d3b3f7a3abd64 | prisms.texting.messenger.coolsms |
| 0ab0eca13d1c17e045a649be27927864 | com.gooders.pdfscanner.gp |
| bfbe04fd0dd4fa593bc3df65a831c1be | com.powerful.phone.android.cleaner |
URL di distribuzione del carico utile
blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/privateSMS_ba[.]htm
blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_base[.]css
blackdragon03[.]oss-ap-southeast-5[.]aliyuncs[.]com/partMessage_config[.]json
nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/MeticulousScanner_bs[.]mp3
sahar[.]oss-us-east-1[.]aliyuncs[.]com/care[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/onesentence[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/onesentence2[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/saiks[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/tangram[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/tangram2[.]asf
sahar[.]oss-us-east-1[.]aliyuncs[.]com/twinkle[.]asf
2j1i9uqw[.]oss-eu-central-1[.]aliyuncs[.]com/328718737/armeabi-v7a/ihuq[.]sky
blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html
blackdragon[.]oss-ap-southeast-5[.]aliyuncs[.]com/privateSMS[.]json
fgcxweasqw[.]oss-eu-central-1[.]aliyuncs[.]com/fdcxqewsswq/dir[.]png
jk8681oy[.]oss-eu-central-1[.]aliyuncs[.]com/fsaxaweqwa/amly[.]art
n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/H20PDF29[.]txt
n47n[.]oss-ap-southeast-5[.]aliyuncs[.]com/font106[.]ttf
nineth03[.]oss-ap-southeast-5[.]aliyuncs[.]com/blackdragon[.]html
proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/m94[.]dir
proxy48[.]oss-eu-central-1[.]aliyuncs[.]com/response[.]js
laodaoo[.]oss-ap-southeast-5.aliyuncs[.]com/allgood2[.]webp
laodaoo[.]oss-ap-southeast-5[.]aliyuncs[.]com/flower[.]webp
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful[.]mov
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com/powerful2[.]mov
rinimae[.]oss-ap-southeast-5[.]aliyuncs.com//intro[.]mov
C&C finali:
161[.]117[.]229[.]58
161[.]117[.]83[.]26
47[.]74[.]179[.]177
Fonte: https://www.zscaler.com/blogs/security-research/joker-playing-hide-and-seek-google-play
Come stare al sicuro?
- Se sul tuo telefono è installato uno dei precedenti, ti suggeriamo di disinstallarlo.
- Quando si installano scanner, sfondi e applicazioni di messaggistica, assicurarsi che provengano da una fonte attendibile. Poiché questi sono i tipi di applicazioni presi di mira da Joker Malware.
- Installa un'applicazione antimalware sul telefono e assicurati di scansionare regolarmente lo smartphone. Puoi provare a utilizzare Systweak Anti Malware per questo scopo.
- Presta attenzione a quali autorizzazioni concedi. Se ritieni che non siano importanti per il funzionamento dell'applicazione, evita di concederli. Fai sempre domande come Questa app ha bisogno di queste autorizzazioni? In che modo la concessione di queste autorizzazioni aiuterà?
- Quando prevedi di utilizzare un'app di messaggistica SMS, chiedi se usi l'app? Se sì, prova a utilizzare Telegram e altre app crittografate end-to-end in quanto sono affidabili e sicure da usare.
- Leggi gli avvisi poiché rivelano molte informazioni. Se non sei sicuro di qualsiasi autorizzazione, disinstalla completamente l'app.
Leggi anche: Soluzione unica per proteggere il tuo dispositivo Android
Joker Malware – Rimani al sicuro e protetto
Progettato per infettare le app Android, Joker Malware è intelligente e fa in modo che Google non lo rilevi. Ecco perché anche quando Google lo sa e continua a rimuovere le app infette, riappare con nuove tecniche e infetta più app. L'unico modo per proteggersi è essere attenti e cauti.
L'uso di un'app antivirus come Systweak Anti Malware aggiungerà sicuramente un ulteriore livello di sicurezza, ma devi stare attento con le autorizzazioni che concedi.
Joker Malware è intelligente e ha infettato migliaia di vittime. Tuttavia, seguendo i suggerimenti come spiegato puoi rimanere protetto.
Ci auguriamo che li seguirai e cercherai di non entrare nelle grinfie di questo terribile malware. Se trovi le informazioni utili, condividile con gli altri. Nel caso in cui tu abbia qualcosa da aggiungere, condividi i tuoi suggerimenti nella casella dei commenti.