EL MALWARE JOKER ATACA DE NUEVO EN PLAY STORE

"Lleve la diversión a sus chats con estas impresionantes pegatinas emoji...", así comienza la descripción de la aplicación "Funny Emoji Sticker". Lo que no le dice es que junto con estos, sin duda impresionantes stickers, también se le instala un malware en su dispositivo.

La aplicación fue retirada de Play Store el 5 de abril, mientras que su aplicación hermana, "Cute Sticker" fue retirada el día 4.

Ambas aplicaciones fueron lanzadas el 29/03/2023 y tienen un número combinado de más de 15k descargas.

La gran mayoría de estas descargas son probablemente generadas por los creadores ya que no hay comentarios en absoluto, pero aún así para alguien que no preste atención a los comentarios y sólo vea el número de descargas, es un número convincente.

El malware detrás de las dos aplicaciones pertenece a la familia denominada "Joker", que es un conocido malware que en la mayoría de los casos intenta cobrar a las víctimas insospechadas suscribiéndolas a servicios premium.

¿Cómo suscribe a los usuarios?

En cuanto se instala la aplicación y el usuario la abre, inmediatamente en segundo plano realiza varias comprobaciones para validar el entorno en el que se está ejecutando. A continuación, intenta descargar y cargar dinámicamente un archivo que es la carga útil de primera etapa que contiene código malicioso. La siguiente figura muestra la solicitud que se realiza y la respuesta que recibe el servidor interceptada mediante Burp:

Observe que la respuesta del servidor es una redirección (302) a otra ubicación donde se encuentra el archivo juicy dex.

En el caso de que la solicitud esté siendo realizada por un País para el cual la IP no está en la lista de permitidas en el lado del servidor, entonces el servidor responde de manera benigna con lo siguiente:

El análisis del archivo dex que se carga dinámicamente revela que básicamente hace dos cosas importantes, descarga y carga otro archivo .dex al tiempo que sugiere al usuario que permita a la aplicación escuchar todas las notificaciones.

La siguiente figura muestra un fragmento del código contenido en el archivo dex descargado:

Como puede verse también en el fragmento, el usuario es redirigido a la página de ajustes que le obliga a conceder a la aplicación el permiso de escucha de notificaciones. También se presenta un brindis en un idioma basado en el Código de País del Móvil (MMC). El MMC 260 corresponde a Polonia y el 286 a Turquía, lo que podría indicar que la aplicación está dirigida a estos países. Cabe señalar que en el mismo archivo dex cargado, otra comprobación de los países muestra que los objetivos potenciales pueden ser España, Grecia, Rusia y Chile.

En cuanto al segundo objetivo del dex cargado, que es descargar y cargar otro archivo .dex, la siguiente figura muestra el fragmento responsable de ello:

El tercer archivo dex cargado contiene el código real que intentará cobrar al usuario mediante la suscripción a servicios premium. La siguiente figura muestra una parte de ese código:

La forma en que funciona es que abre una webview invisible que visita una página que ofrece algún tipo de suscripción de pago a los usuarios. Introduce automáticamente el número de teléfono del dispositivo y espera a que llegue el código de confirmación. Esto, en combinación con el permiso de escucha de notificaciones que se solicitó antes, permite al programa malicioso suscribir al usuario a ese servicio ¡y el usuario sólo notará un cargo en la factura telefónica!

También existe una funcionalidad adicional ofrecida por la carga útil de la segunda etapa, que consiste en extraer información sobre el dispositivo y enviarla a un host diferente, acceder a los contactos e intentar leer/enviar SMS.

¿Cómo protegerse?

Aunque Play Store se esfuerza continuamente por combatir el malware, es evidente que no siempre lo hace con éxito. Para ser justos, es todo un reto mantenerse al día de la evolución de programas maliciosos como Joker o Harly, que están encontrando nuevas formas de explotar a usuarios insospechados. Dado que aplicaciones como las descritas anteriormente se suben a Play Store a granel a diario, la regla de oro sería descargar únicamente aplicaciones que tengan varios cientos de miles de descargas y muchos comentarios positivos.