Joker este o familie de malware utilizată în atacul dispozitivelor ce rulează Android încă din anul 2016 iar la ora actuală este una dintre cele mai comune ameninţări pentru Android.
Odată instalată, aplicaţia Joker abonează în mod secret utilizatorul la mai multe servicii cu plată (care, întâmplător, sunt şi scumpe) şi poate să exfiltreze mesajele SMS, lista de contacte telefonice şi detalii despre dispozitiv.
În anul 2020 cel puţin 11 aplicaţii aparent legitime publicate pe magazinul oficial Google Play Store au conţinut droppere de Joker.
Recent, cercetătorii de la Dr.WEB au identificat 10 aplicaţii în AppGallery (magazinul oficial de aplicaţii al producătorului Huawei) infectate cu troianul Android.Joker care au fost instalate de peste 538.000 de utilizatori.
Familia aceasta de malware este cea mai uzitată şi modificată de către atacatori deoarece poate să execute o varietate de task-uri în funcţie de nevoile atacatorilor.
Aproape zilnic apar versiuni noi conform celor de la Doctor Web, acestea sunt de regulă inserate în magazinul oficial al Android (Google Play) dar se pare că atacatorii au decis să îşi varieze metodele de diseminare prin utilizarea cataloagelor de aplicaţii întreţinute şi de alţi mari producători de pe zona de Mobile.
Doctor Web a informat Huawei despre aceste aplicaţii iar producătorul chinez le-a scos de pe AppGallery. Deşi aplicaţiile nu mai pot fi descărcate de către alţi utilizatori, cei care le-au instalat deja trebuie să efectueze o curăţare manuală a lor.
Cercetătorii spun că modulele descărcate de aplicaţiile infectate găsite în AppGallery erau identice cu altele, mai vechi, găsite în magazinul Google Play.
Odată activ, malware-ul comunica cu un server de comandă şi control de la care obţinea o listă de task-uri, una de pagini web cu servicii “Premium” şi o serie de comenzi în JavaScript care să mimeze interacţiunea cu utilizatorul.
La nivelul anului 2020, Google anunţa că ştersese peste 1.700 de aplicaţii infectate cu Joker şi se pare că în continuare acesta reuşeşte să evite politicile de securitate ale magazinelor de aplicații mobile.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.