Hace algunas semanas informamos la (mala) noticia del regreso de bufón en la escena móvil, lo que confirma el potencial de uno de los Malware de Android más difícil de erradicar. Incluso sus orígenes se remontan a un pasado lejano. 2017, cuando un virus – originalmente conocido con el nombre de “Pan de molde“- se abrió camino a través de teléfonos inteligentes equipados con el sistema operativo móvil de Google, comprometiendo la seguridad (y la billetera) de sus usuarios.
Cuatro años después, bufón todavía está activo, aunque con connotaciones y conformaciones parcialmente diferentes en comparación con el pasado.
Aunque conservaba el mismo nombre, el famoso malware de Android tenía que adaptar Los crecientes mecanismos de protección antivirus de Google: los ciberdelincuentes detrás de Joker han ideado trucos tan rápidamente para eludir los motores de análisis de Google Play Protect. Por lo tanto, nos enfrentamos a un virus extremadamente dinámico, capaz de mudarse de piel y por eso mismo peligroso para los usuarios.
Un virus dinámico
En los cuatro años de militancia y en las diversas declinaciones asumidas, bufón siempre ha sido bastante coherente en sus principios básicos: el principal objetivo del malware es vaciar el crédito restante de la tarjeta SIM del teléfono inteligente Android a través de la activación inconsciente y sin interrupciones de servicios de pago, gestionados naturalmente por los propios ciberdelincuentes. Por tanto, el malware utiliza el Fraude WAP basado en el estándar WAP, el acrónimo de Wireless Application Protocol, y utiliza la funcionalidad de marcador para tener un control total de todo lo que sucede en el teléfono inteligente: de hecho, es capaz de leer notificaciones que llegan al dispositivo infectado y pueden enviar SMS de forma autónoma.
En las primeras versiones, las actividades maliciosas de bufón se realizaron a través de SMS, pero solo recientemente el temido malware ha evolucionado mediante el uso de dispositivos sofisticados. Como explicaron los investigadores de seguridad, el virus ahora encuentra linfa de aplicaciones aparentemente inofensivas, hasta el punto de estar alojados en la Play Store y por tanto teóricamente seguros para todos aquellos que los descarguen. Esta última variante de bufón Sin duda, es la más peligrosa, ya que potencialmente puede llegar a la masa indiferenciada de usuarios: solo necesita descargar la aplicación incorrecta para vaciar su billetera. Y hemos visto muchas aplicaciones de Joker, más precisamente más de 1.700 desde que el virus muda su piel.
La nueva variante de bufón utiliza un llamado “cuentagotas“, que es un programa que utilizan los ciberdelincuentes con el objetivo de cargar malware en el dispositivo en el que está instalada la aplicación. El cuentagotas es, por lo tanto, una aplicación común presente en Play Store y no muy diferente, al menos en apariencia, a la alternativas restantes que se pueden descargar en la tienda de aplicaciones de Android. Según algunas encuestas estadísticas, bufón se ha encontrado en programas pertenecientes a categorías bastante variadas, en la mayoría de los casos enmarcados como herramientas (especialmente aplicación antivirus), sino también en aplicaciones de personalización, mensajería y fotografía; por otro lado, la presencia en los programas de fitness es más rara.
Cómo funciona Joker
Los investigadores de Check Point explicaron cómo las últimas variantes de bufón: este último primero construye su propio carga útil y lo inserta en el archivo de manifiesto de Android (que está presente dentro de cada aplicación y tiene el propósito de enviar a Android alguna información relacionada con la aplicación en sí, como el nombre, el icono y los permisos); Luego, la aplicación se somete a evaluación y control por parte de Google y es en este momento que bufón está “inactivo”, al menos hasta que el programa obtenga la aprobación total y fatídica. Esto nos lleva a la última fase, representada por la carga del carga útil maliciosa. En versiones de bufón descubrimientos a finales de julio, los investigadores de seguridad también notaron que el virus hizo uso de Servicios de acortamiento de URL (como TinyURL, bit.ly, Rebrand.ly, zws.im, 27url.cn) para ocultar las verdaderas URL de los servicios en la nube. Esta es una táctica adicional implementada por los ciberdelincuentes en respuesta a las últimas medidas de seguridad implementadas por Google.
Una vez en el trabajo bufón prevé ocultar cualquier notificación relacionado con la descarga que realizará desde servidores remotos. El virus tiene, de hecho, permisos completos para leer, pero también para enviar SMS, que son necesarios precisamente para activar servicios de suscripción administrado por ciberdelincuentes en la tarjeta SIM del desafortunado usuario. Más allá de los tecnicismos, también hay otra parte importante de la estafa desarrollada por los piratas informáticos y es la promoción de aplicaciones que llevan bufón: le críticas en Play Store son en la mayoría de los casos falso y la alta calificación es un claro incentivo para descargar la aplicación, que luego Google elimina solo después de que se descubre el malware. Entonces los ojos bien abiertos.
