IL MALWARE JOKER COLPISCE ANCORA SUL PLAY STORE

"Porta il divertimento nelle tue chat con questi fantastici adesivi emoji...", così inizia la descrizione dell'app "Funny Emoji Sticker". Quello che non dice è che insieme a questi adesivi, senza dubbio fantastici, viene installato un malware sul suo dispositivo.

L'applicazione è stata rimossa dal Play Store il 5 aprile, mentre l'applicazione sorella, "Cute Sticker", è stata rimossa il 4 aprile.

Entrambe le applicazioni sono state rilasciate il 29/03/2023 e hanno un numero combinato di oltre 15k download.

La maggior parte di questi download sono probabilmente generati dai creatori, dato che non ci sono commenti, ma per chi non presta attenzione ai commenti e vede solo il numero di download, è un numero convincente.

Il malware dietro le due app appartiene alla famiglia denominata "Joker", che è un malware ben noto che nella maggior parte dei casi tenta di addebitare le vittime insospettabili abbonandole a servizi premium.

Come abbona gli utenti?

Non appena l'applicazione viene installata e l'utente la apre, immediatamente in background esegue diversi controlli per convalidare l'ambiente in cui viene eseguita. Poi tenta di scaricare e caricare dinamicamente un file che è il carico utile della prima fase, contenente codice dannoso. La figura seguente mostra la richiesta effettuata e la risposta ricevuta dal server, intercettata con Burp:

Si noti che la risposta del server è un reindirizzamento (302) verso un'altra posizione in cui si trova il file juicy dex.

Nel caso in cui la richiesta venga effettuata da un Paese per il quale l'IP non è inserito nell'elenco dei permessi sul lato server, il server risponde in modo benevolo con quanto segue:

Analizzando il file dex che viene caricato dinamicamente, si scopre che fa fondamentalmente due cose importanti: scarica e carica un altro file .dex e suggerisce all'utente di consentire all'applicazione di ascoltare tutte le notifiche.

La figura seguente mostra uno snippet del codice contenuto nel file dex scaricato:

Come si può vedere anche dallo snippet, l'utente viene reindirizzato alla pagina delle impostazioni che lo spinge a concedere all'app il permesso di ascoltare le notifiche. Viene anche presentato un toast in una lingua basata sul Mobile Country Code (MMC). L'MMC 260 è Polonia e il 286 è Turchia, il che potrebbe indicare che l'applicazione è destinata a questi Paesi. Vale la pena notare che nello stesso file dex caricato, un altro controllo per i Paesi mostra che i potenziali obiettivi possono essere Spagna, Grecia, Russia e Cile.

Per quanto riguarda il secondo obiettivo del dex caricato, che è quello di scaricare e caricare un altro file .dex, la figura seguente mostra lo snippet responsabile di questo:

Il terzo file dex caricato contiene il codice effettivo che tenterà di addebitare all'utente la sottoscrizione di servizi premium. La figura seguente mostra una parte del codice:

Il modo in cui funziona è che si apre una webview invisibile che visita una pagina che offre un qualche tipo di abbonamento a pagamento agli utenti. Inserisce automaticamente il numero di telefono del dispositivo e attende l'arrivo del codice di conferma. Questo, in combinazione con l'autorizzazione all'ascolto della notifica richiesta in precedenza, consente al malware di abbonare l'utente a quel servizio e l'utente noterà solo un addebito nella bolletta del telefono!

C'è anche una funzionalità aggiuntiva offerta dal payload della seconda fase, che prevede l'estrazione di informazioni sul dispositivo e il loro invio a un host diverso, l'accesso ai contatti e il tentativo di leggere/inviare SMS.

Come proteggersi?

Sebbene Play Store si impegni continuamente a combattere il malware, è evidente che non sempre ha successo. Ad essere onesti, è difficile tenere il passo con malware in evoluzione come Joker o Harly, che trovano nuovi modi per exploitare utenti insospettabili. Dato che applicazioni come quelle descritte sopra vengono caricate in massa sul Play Store ogni giorno, la regola d'oro sarebbe quella di scaricare solo applicazioni che hanno diverse centinaia di migliaia di download e molti commenti positivi.