Fraudulento y muy escurridizo: conócelo todo sobre 'Joker', uno de los malwares más agresivos de Android, de la mano de Google
El malware es el gran problema de cualquier plataforma informática, y siendo Android una de las plataformas móviles más utilizadas del mundo es lógico que sea también una de las más afectadas por el software malicioso. No en vano, Google eliminó hace poco 104 apps con más de 4 millones de descargas que contenían malware, e incluso hemos visto felicitaciones de Navidad que no querían sólo alegrarnos las fiestas.
Hay software malicioso de todo tipo, desde teclados con compras no autorizadas hasta una app que no se elimina ni formateando el móvil, pero quizás uno de los más persistentes sea 'Joker', un malware que lo ha intentado todo para evitar la detección de Play Store y que Google nos ha presentado en profundidad desde su blog de seguridad.
Se trata de un software clasificado en la familia de fraudes de facturación a gran escala, que tal y como nos contaban los compañeros de 9to5Google también se conoce como 'Bread' -pan en inglés- y que ha sido rastreado por Google desde principios de 2017 como un atacante persistente y bien organizado.
Todo sobre 'Joker', el malware duro de roer que quiere sacarte tu dinero
Sus primeros pasos se cuentan en el fraude por SMS's atacando a los usuarios que utilizaban operadoras con pasarela de pagos mediante mensajes de texto, aunque pronto se pasó también al fraude telefónico, engañando al usuario con una página de operador que solicitaba ingresar el número de teléfono.
No sólo eso, y es que los usuarios que reportaron los fraudes tras instalar aplicaciones afectadas se encontraron con pliegos de condiciones insuficientes, donde los números no eran reales para cancelar las suscripciones y los botones y enlaces estaban todos caídos, sin posibilidad de reclamar.
La suscripción premium, eso sí, se cobraba en segundo plano y de forma reiterada hasta que Google Play restringió los permisos de pago por SMS, pero incluso así 'Joker' se mantuvo a lo suyo:
En algún momento, [el malware] ha utilizado prácticamente todas las técnicas de ocultación y ofuscación que existen para evitar su detección. Muchas de estas muestras parecen estar diseñadas específicamente para intentar acceder a Play Store sin ser detectadas, y no se habían visto en ningún otro sitio.
En esto se incluyen tanto técnicas clásicas como otras más innovadoras, buscando ocultar cadenas de código de los motores de análisis más utilizados, y ofuscando además el uso de las APIs de SMS y Wi-Fi y los permisos utilizados en Android.
No sólo eso, y es que las aplicaciones con 'Joker' se publicaban siempre en "versiones limpias" la primera vez para aumentar su base de usuarios y las puntuaciones, publicando además valoraciones falsas con altas puntuaciones para subir la calificación de la app, y actualizándose posteriormente con el malware integrado:
En las horas pico de actividad, se han detectado hasta 23 aplicaciones diferentes de esta familia de malware enviadas a Google Play en el mismo día. En otras ocasiones, 'Bread' parecía abandonar la esperanza de validar una variante, pero se ha visto una brecha de una semana o más días antes de una próxima oleada de apps maliciosas.
La parte buena es que el gran trabajo de Google está consiguiendo atajar el problema, y es que Play Protect ha eliminado más de 1.700 aplicaciones únicas con el malware 'Joker' integrado antes incluso de que los usuarios las descargasen una sola vez. Impresionante, ¿no? El mal nunca descansa...
En Andro4all | Un malware que no se elimina ni formateando el móvil afecta a miles de dispositivos Android
Más información | Google Security Blog
Para estar siempre al día con lo último en tecnología, suscríbete a nuestro canal oficial y verificado de Andro4all en WhatsApp.