Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Alert: il malware Joker è ancora presente sul Google Play Store
- MERCOLEDÌ 17 FEBBRAIO 2021


I ricercatori di sicurezza dei nostri Quick Heal Security Labs hanno individuato nel Google Play Store due diverse versioni della famiglia di malware Joker: rassicuriamo gli utenti, Google ha provveduto a rimuovere immediatamente le applicazioni dannose dal Play Store, non appena ricevuta la segnalazione. 

Le applicazioni che nascondevano il malware erano due, un traduttore fake chiamato "Free Translator" e un lettore di QR Code chiamato "Easy QR Scanner", entrambe con centinaia di migliaia di download. 


Il malware Joker in breve
I malware della famiglia Joker sono spyware che rubano dai dispositivi i messaggi SMS, la lista dei contatti e le informazioni sul dispositivo. Interagisce silenziosamente con siti web di advertising e sottoscrive abbonamenti senza che l'utente ne abbia consapevolezza. Il nome Joker si deve ad uno dei domini di comando e controllo al quale risultavano collegate le prime versioni del malware. 

Fin dal suo debutto, la famiglia di malware Joker ha continuato ad insinuarsi nel Google Play Store usando diversi "trucchetti" per superare / bypassare i controlli di sicurezza, va detto sempre più imponenti, che Google ha messo a difesa del proprio store. A Gennaio dello scorso anno Google fece sapere di aver rimosso dal Play Store oltre 1700 applicazioni dannose appartenenti alla famiglia Joker e, da quel momento, il monitoraggio costante ha portato a individuare molte altre app contenenti lo spyware. Il motivo per il quale il malware riesce sempre a reinsiediarsi nel Google Play Store è perchè gli autori del malware continuano ad apportare piccole variazioni al proprio codice o al payload, così da poter evadere o bypassare gli strumenti di individuazione. 

L'applicazione Easy QR Scanner - qualche info tecnica 
Al lancio, l'applicazione chiede molte permissioni: accesso ai contatti, alla memoria, alla camera, seguite subito dopo dalla richiesta per accedere alle notifiche. L'applicazione sembra funzionare correttamente: aprire la camera e puntarla su un QRcode comporta l'apertura dell'URL relativo. 

Il problema sono però tutte quelle attività dannose che l'app inizia a svolgere in background senza che l'utente ne sia consapevole. La figura sottostante mostra i pacchetti relativi all'applicazione Easy QR Scanner e i suoi payload.


In questo caso sono scaricati 3 payload, ognuno differente dall'altro. Le applicazioni originali vedono perfino l'uso del packer Tencent per nascondere le funzionalità utili al download del payload dannoso. All'esecuzione, per prima cosa viene spacchettata l'applicazione e viene scaricato il payload di primo stadio. 

Questo payload si chiama xiwa.doc e contiene il codice per scaricare il payload dello stadio successivo, kubo.doc. 

Il payload di secondo stadio contiene il codice necessario a verificare il codice dell'operatore (col metodo getSimOperator)  della SIM e per richiedere alcune permissioni. Inoltre si collega ad un sito web per sottoscrivere servizi ad abbonamento. Contiene anche il codice necessario al download del payload i terzo, e ultimo, stadio, chiamato closer.doc


E' questo ultimo payload a contenere tutte le informazioni necessarie al funzionamento e al comportamento del malware Joker. La foto sotto mostra la porzione di codice responsabile della raccolta degli SMS. 


Le stringhe sono offuscate così da evitare individuazioni in base alla firma. Grazie a questa funzionalità il malware può intercettare le One Time Password senza necessità che l'utente ne sia consapevole o interagisca in alcun modo: è così che il payload di terzo stadio consente di completare la sottoscrizione ad abbonamenti. 

L'altra applicazione ha mostrato un comportamento del tutto simile. 

Come evitare di scaricare app compromesse o dannose
  1. non scaricare app da link ricevuti via SMS, via chat o via social media. Scarica app solo da fonti affidabili;
  2. disabilita l'opzione "installazione applicazioni da fonti sconosciute";
  3. leggi attentamente gli alert pop up che il tuo sistema Android mostra prima di procedere ad accettare / consentire nuove permissioni;
  4. gli sviluppatori malintenzionati rubano e sfruttano i nomi di applicazioni e sviluppatori legittimi. Non limitare quindi le verifiche al nome dell'applicazione o dello sviluppatore: verifica l'eventuale presenza di errori grammaticali e refusi nella descrizione dell'applicazione, perché questi contraddistinguono spesso app dannose. Oltre a ciò verifica il sito web dello sviluppatore, se è disponibile nella pagina web dell'applicazione;
  5. recensioni e rating possono essere fake, ma è comunque utile leggere le recensioni degli altri utenti e le loro esperienze di utilizzo. Diffida delle app con un basso rating;
  6. fai attenzione al numero di download dell'applicazione: app popolari hanno conteggi molto alti. E' comunque una verifica non sufficiente, poiché sono già state molte le app dannose che comunque avevano conteggi download molto alti, in alcuni casi anche di milioni;
  7. usa un antivirus di comprovata efficacia, come Quick Heal Total Security per Android.


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

MARTEDÌ 11 MAGGIO 2021
FluBot, il malware che bersaglia gli utenti italiani via SMS
Il CERT-AgID italiano ha da qualche tempo puntato i riflettori su un malware in particolare, chiamato Flu Bot: già diffuso in Europa da qualche tempo, aveva fino a poche ...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Leadership
Premi & Certificazioni
Scheda riepilogativa
Clienti
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2021 nwk - Privacy Policy - Cookie Policy - Login