Observando la seguridad en la red

Te traemos las últimas noticias sobre ciberseguridad y ciberataques

android-joker.jpg

The Joker: el nuevo malware que debería alertar a los usuarios de Android

Otro día mas y otro malware paseándose por la Google Play Store. El nombre del villano de Batman, The Joker es capaz de robar dinero a través de servicios de suscripción que los usuarios ni siquiera saben que se inscribieron.

Google ha eliminado la mayoría de las aplicaciones que fueron afectadas por el malware. Sin embargo, por razones de seguridad, revisa la lista y asegúrate de no tener instaladas aplicaciones infectadas. Además, sería una buena idea verificar tus extractos bancarios a partir de junio, ya que es el momento en que el malware comenzó a suscribirse automáticamente a los usuarios.

Aquí hay una lista de aplicaciones que fueron infectadas por el malware:

  • Advocate Wallpaper
  • Age Face
  • Altar Message
  • Antivirus Security – Security Scan
  • Beach Camera
  • Board picture editing
  • Certain Wallpaper
  • Climate SMS
  • Collate Face Scanner
  • Cute Camera
  • Dazzle Wallpaper
  • Declare Message
  • Display Camera
  • Great VPN
  • Humour Camera
  • Ignite Clean
  • Leaf Face Scanner
  • Mini Camera
  • Print Plant scan
  • Rapid Face Scanner
  • Reward Clean
  • Ruddy SMS
  • Soby Camera
  • Spark Wallpaper

Dado que el malware suscribe automáticamente a los usuarios a diferentes servicios, sería prudente verificar tu estado de cuenta bancario y asegurarte de que no estés suscrito a ningún servicio no autorizado.

¿Cómo actúa The Joker?

El malware se encuentra presente en las aplicaciones anteriormente mencionadas, y ofrece un componente de segunda etapa, que simula silenciosamente la interacción con sitios web de publicidad, roba los mensajes SMS de la víctima, la lista de contactos y la información del dispositivo.

La interacción automatizada con los sitios web de publicidad incluye la simulación de clics y la introducción de códigos de autorización para suscripciones de servicios premium.

El malware emplea tácticas especialmente sigilosas para realizar actividades bastante maliciosas en GooglePlay, mientras se esconde dentro de plataformas de publicidad, cuidando de no exponerse demasiado su código malicioso.

Google ha estado eliminando todas estas aplicaciones sin ninguna notificación a los usuarios.

Recomendamos prestar mucha atención a la lista de permisos en las aplicaciones que instale en su dispositivo Android.

¿Qué países fueron afectados?

Afortunadamente para algunos, el malware Joker solo ataca países seleccionados. La mayoría de las aplicaciones infectadas contienen una lista de Códigos de país móviles (MCC) y la víctima debe usar una tarjeta SIM de uno de estos países para recibir la carga útil de la segunda etapa.

La mayoría de las aplicaciones descubiertas apuntan a la UE y los países asiáticos, sin embargo, algunas aplicaciones permiten que cualquier país se una. Además, la mayoría de las aplicaciones descubiertas tienen una verificación adicional, que asegurará que la carga no se ejecute cuando se ejecute dentro de los EEUU o Canadá. La interfaz de usuario del panel de C&C y algunos de los comentarios del código del bot están escritos en chino, lo que podría ser una pista en términos de atribución geográfica.

La lista completa de 37 países seleccionados incluye: Australia, Austria, Bélgica, Brasil, China, Chipre, Egipto, Francia, Alemania, Ghana, Grecia, Honduras, India, Indonesia, Irlanda, Italia, Kuwait, Malasia, Myanmar, Países Bajos, Noruega , Polonia, Portugal, Qatar, Argentina, Serbia, Singapur, Eslovenia, España, Suecia, Suiza, Tailandia, Turquía, Ucrania, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.

Referencia: https://medium.com/csis-techblog/analysis-of-joker-a-spy-premium-subscription-bot-on-googleplay-9ad24f044451

Isaul CarballarThe Joker: el nuevo malware que debería alertar a los usuarios de Android