Joker es un malware que está especialmente enfocado a Android. De hecho, más que un software malicioso propiamente dicho se puede considerar toda una familia de malwares, ya que cuenta con diversas variantes. Se trata de uno de los códigos maliciosos más conocidos por los analistas de seguridad, ya que lleva desde 2016 realizando ataques a dispositivos Android…y no parece que nadie esté consiguiendo ponerle freno.
Tanto es así que este pasado mes de septiembre Joker ha sido descubierto en una docena de apps, inundando tanto la Play Store de Google como otros markets de aplicaciones Android alternativos, convirtiéndose por méritos propios en una de las amenazas más comunes para los usuarios del sistema operativo de Google. Algo que nos puede poner los pelos de punta si tenemos en cuenta el tipo de ataques que realiza.
Una vez ha sido instalado, Joker es capaz de suscribir a los usuarios a servicios de suscripción de pago premium. Además de eso, también intercepta y lee los mensajes SMS de sus víctimas, su lista de contactos y diversa información relativa a su teléfono móvil o tableta. El pasado mes de julio ya fue detectado en 11 aplicaciones Android que sumaban alrededor de 500.000 descargas en Google Play, y hace apenas una semana la empresa de seguridad Zscaler reveló que había descubierto una nueva hornada de 17 apps, en apariencia totalmente legítimas, inoculadas con el troyano del Joker, que han llegado a acumular alrededor de 120.000 instalaciones.
Según informa Zscaler los atacantes han ido subiendo las aplicaciones maliciosas a la Play Store de manera gradual y escalonada durante todo el mes de septiembre para no llamar la atención. Pero eso no es todo, ya que otro grupo de expertos en seguridad, en este caso Zimperium, ha anunciado esta misma semana que han detectado 64 nuevas variantes de Joker durante este mes de septiembre, la mayoría de ellas ubicadas en repositorios de apps alternativos. Por si esto no fuera suficiente, otras compañías de ciberseguridad como Pradeo y Anquanke también han identificado más ataques de Joker en los últimos meses, aclarando que ya son más de 13.000 los casos detectados desde su descubrimiento en diciembre de 2016.
Así funciona Joker, un malware sigiloso pero letal
Una de las claves del éxito de Joker es la manera en la que despliega su ataque. Para ello emplea copias o imitaciones de aplicaciones conocidas, y cuando el usuario las descarga de Google Play o cualquier otro repositorio no verá nada extraño en su código, más allá de una pequeña función de volcado o “dropper”. Este dropper, que apenas cuenta con un par de líneas de código, se mantiene inactivo durante horas o incluso días, hasta que en un momento dado descarga el componente malicioso y lo implanta en la aplicación que acaba de instalar el usuario.
Zimperium ha publicado un diagrama de flujo donde se explica a la perfección el mecanismo que emplea Joker para infectar a sus victimas sin ser descubierto. Básicamente, lo que hace es camuflar la descarga de elementos maliciosos haciéndolos pasar por aplicaciones inofensivas como juegos, editores de fotos, traductores, juego o apps de mensajería.
Una vez el troyano ha sido desplegado, la aplicación descargada por el usuario y que hasta el momento resultaba inofensiva y benigna, obtiene los permisos necesarios para utilizar la aplicación de mensajería SMS y dar de alta al usuario en servicios de suscripción de pago.
Según indican desde Google, las aplicaciones denunciadas por Zscaler ya han sido retiradas de la Play Store. Sin embargo, vista la facilidad con la que parecen infiltrarse este tipo de ataques maliciosos en Android, incluso a través de repositorios oficiales y en principio equipados con altas medidas de seguridad, resulta imprescindible que el usuario también ponga de su parte y agudice su perspicacia al máximo. Pero, ¿cómo?
Una buena forma de empezar sería instalando únicamente aplicaciones que vayamos a usar, que tengan una utilidad concreta, y sobre todo que provengan de desarrolladores conocidos. Desgraciadamente, parece que ya va siendo hora de que desterremos esa idea preconcebida de que cualquier aplicación es segura simplemente por estar disponible en Google Play.
