Expertos de seguridad de Google removieron 24 aplicaciones desde Google Play porque estaban infectadas por “The Joker” spyware

The Joker es el nombre de un nuevo spyware (un software que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador), ha estado circulando en las aplicaciones para Android en Google Play.

The Joker infecta a las víctimas después de la descarga para robar sus mensajes SMS, listas de contactos e información del dispositivo. Además de robar la información de las víctimas, el malware también las suscribe sigilosamente a servicios premium que podrían vaciar silenciosamente las cuentas vinculadas a los dispositivos.

El malware fue advertido en las últimas semanas en 24 aplicaciones maliciosas, con un total de 472 mil descargas en el mercado oficial de aplicaciones de Android. Un portavoz de Google advirtió al medio digital “Threatpost” que desde que fueran advertidas, las aplicaciones se han eliminado de Google Play.

Los expertos han señalado que The Joker emplea tácticas especialmente sigilosas para realizar actividades maliciosas en Google Play, mientras se esconde dentro de la publicidad y no es capaz de ocultar su código malicioso. Los analistas agregan que el kit del malware utiliza la menor cantidad posible de código Java, por lo que su huella es difícil de rastrear.

Funcionamiento

El troyano fue detectado por primera vez en junio de este año en los marcos publicitarios de 24 aplicaciones. Después de instalar la aplicación, se muestra una pantalla de bienvenida con el logotipo de la aplicación para apartar a las víctimas mientras realizan varios procesos maliciosos en segundo plano.

Por debajo, la aplicación carga un archivo ejecutable Dalvik de segunda etapa (DEX), eu es un archivo de código para el sistema operativo Android. El archivo, a su vez, elimina la carga útil, que incluye capacidades para capturar mensajes SMS, listas de contactos e información del dispositivo desde el teléfono de la víctima.

Para empeorar las cosas, el malware registra automáticamente a las víctimas para suscripciones de servicios premium para varios anuncios. Los analistas señalaron que esta estrategia funciona al automatizar la interacción necesaria con la página web de la oferta premium, ingresar el código de oferta del operador, luego esperar un mensaje SMS con un código de confirmación y extraerlo con expresiones regulares.

Como un medio para la antidetección, el malware también recibe código dinámico y comandos a través de HTTP y ejecuta ese código a través de devoluciones de llamada de JavaScript a Java, lo que le proporciona una capa adicional de protección contra el análisis estático, ya que muchas instrucciones en este caso no están codificadas en la aplicación maliciosa en Google Play, señaló Aleksejs Kuprins,, analista de CSIS Security Group.

El malware se dirige a usuarios en 37 países, incluidos China, Francia, Alemania, Estados Unidos y Reino Unido. En América Latina los países afectados son Honduras, Brasil y Argentina. En todos los países afectados The Joker utiliza una lista de códigos de países. Si la víctima tiene una tarjeta SIM de uno de estos países, el malware ejecutará la carga útil de la segunda etapa.

«La mayoría de las aplicaciones descubiertas apuntan a la Unión Europea y países asiáticos, sin embargo, algunas aplicaciones permiten que cualquier país se una», dijo Kuprins. «La interfaz de usuario del panel C2 y algunos de los comentarios del código del bot están escritos en chino, lo que podría ser una pista en términos de atribución geográfica», señaló.

A principios de 2019, Google Play eliminó al menos 85 aplicaciones falsas que albergaban adware, disfrazado de aplicaciones de juegos, TV y simuladores de control remoto. En 2018 fueron eliminadas 22 aplicaciones de adware.

El CSIRT de gobierno ha emitido algunas alertas durante las últimas semanas acerca de campañas de adware a nivel local. En ese sentido las recomendaciones generales son:

  • Atender a los procesos de instalación, ya que podría estar disponible la opción de “No instalar” el Adware vinculado a la aplicación.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)
  • Evaluar el bloqueo preventivo de los indicadores de compromisos
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing
  • Realizar concientización permanente para los usuarios sobre este tipo de amenazas
  • Visualizar que los sitios web a los que se ingresen sean los oficiales

Adicionalmente el CSIRT de gobierno comparte los siguientes Indicadores de Compromiso asociados.

IoCs

C&C (distribución de malware):

http://3[.]122[.]143[.]26/

C&Cs Principales:

http://joker2[.]dolphinsclean[.]com/
http://beatleslover[.]com/
http://47[.]254[.]144[.]154/

C&C para la descarga de la segunda fase:

https://s3[.]amazonaws[.]com/media[.]site-group-df[.]com/s8-release
https://tb-eu-jet[.]oss-eu-central-1[.]aliyuncs[.]com/s8–5-release
https://tb-eu-jet[.]oss-eu-central-1[.]aliyuncs[.]com/s8-5-dsp-release
https://tb-eu-jet[.]oss-eu-central-1[.]aliyuncs[.]com/s8-all
https://tb-eu-jet[.]oss-eu-central-1[.]aliyuncs[.]com/s9-3-sendsms
https://tb-eu-jet[.]oss-eu-central-1[.]aliyuncs[.]com/s9–6-release
https://tb-eu-jet[.]oss-eu-central-1[.]aliyuncs[.]com/s9–6–2-release
https://tb-eu-jet[.]oss-eu-central-1[.]aliyuncs[.]com/s9-6-3
https://tb-eu-jet[.]oss-eu-central-1[.]aliyuncs[.]com/Y12-all-no-log
https://tb-eu-jet[.]oss-eu-central-1[.]aliyuncs[.]com/Y12-no-log
https://tb-eu-jet[.]oss-eu-central-1[.]aliyuncs[.]com/Y13-all
https://tb-eu-jet[.]oss-eu-central-1[.]aliyuncs[.]com/Y13-all-v2-no-log

Hashes de las aplicaciones maliciosas:

b36fbe6b75f00ae835156185ca5d6955cdfbe410d73c3e5653dabbaff260f166
718210a0c41160240843711d79f2757548e72934e996b0e16a2b2277369d366b
81d784ee65a8dc113683cd7cc271a36da275a500621cefa187095951af3a5114
2d9a7d75227c3332591e1af5a2f2223eec3328c75c95dea9a33ea269200faf38
1e724a5af76927106ee92421412af62698707d1d44a9891f91b3c6902f1780cd
69d94f94233a2e42d49eeafaea7bf2aad86671cdaf3be45b00ff3de624d7e883
e44f514c7729a6c39700db6ac51c817c77741e19178f8942c2d26f6b62ef9df5
226e9c5ca45facb9b9a36529e09958546c4b351f4b7ae02101f8e3c1d6e3de7b
6261be516a54d8566348b8305e96f34bdbf4f11620350c5f36f4bc3cb67fc181
43b36c438a3531e42623fbd00f5b57066a4db8048ce8e0ab0b5ecf9eac67aabf
da2171a32f3b95620c35a48a34fb7293a321ab41266d3461f808b2f07694e5a7
494c8c6155a08ae95a2f1962636911310c98d36f065e81eddf4ffcb172913495
a8bf4055a4988ee181be9915c93c6278503be562475a558aef3c6dba54e06b13
befde4166a9cdf2ff7c8f81fb5dec6a6760d20e0debbc667a8274899a248ef31
b631b2254850e62804fc66895850dcbf007d670aa843af8d2e525c85947da2d4
2e3bff9dda4c568a5e12c2f468227ec8dc5baf9913fe573f02ef2d5432b37bc0
9b4a1b7c638be029f0ffcb92dcfac74052f41fc36d43a45f6aa80d20d1285646
5405e39dbde78e3b561a6e54f208ce557f04bdbdc363ea6442892d26ba91811e
65135899349daca2646ca36c5a442382bc988f5b3749a2bd5322170d777af77a
54aba1530d829c71b2410c06628de034e38bc52be3002f82cc771c219d91958d
27450c3c735dc3dcba9254a3b08ed22bbcde8631343cb70107d4e41e17fbb548
162ee177dea9b94366063de63dffd97f92f7a50e0e429d54fea73dc3a52f1b3a
f165e04ee6ec84a2e57108c0f7e157a5dc1158fb38a161e5cfcde89476838c09
0eba66cda54c732645ca69949882097c2f2e69dff917e8834b6636ef00848772

Fuentes:

Threatpost

Medium

Security Affairs