Hay algunos nombres de amenzas, y Joker es un claro ejemplo de ello, que consiguen perdurar mucho más tiempo del que, en un primer momento, habría sido imaginable. Y es que, pese a los múltiples golpes que han ido recibiendo sus sucesivas versiones, y que lo han dejado aparentemente fuera de juego, sus creadores han sido capaces de evolucionarlo, cambiando incluso la técnica empleada, para mantenerlo en la picota y, desgraciadamente, también en la tienda de apps de Google para Android.
Hagamos un poco de historia: Joker fue detectado inicialmente en 2017, momento en el que se valía de las funciones de Android para el envío de mensajes SMS, con el fin de generar suscripciones a servicios premium que, posteriormente, eran facturados a la víctima en el cobro mensual de su operador de telefonía móvil. Una modalidad de robo que se popularizó mucho hace unos años, y que fue en gran medida responsable de que los usuarios comenzarán a revisar los permisos que concedían a las apps que instalaban en sus smartphones.
Además de eliminar este tipo de apps de Google Play cuando las detectaba, Google también optó por cambios relacionados con la función SEND_SMS, con el fin de impedir que malware como Joker pudiera generar suscripciones a este tipo de servicios sin que el usuario llegara a ser consciente de ello. Y, claro, en ese momento, todo apuntaba a que Joker había dejado de tener sentido y que, por lo tanto, terminaría por desaparecer. Desgraciadamente, tal y como informa Bleeping Computer, no ha sido así.
Técnicos de Google y de varias compañías de ciberseguridad han detectado una nueva versión de Joker que, acusando recibo de los cambios de seguridad de Android y Play Store, ha modificado sustancialmente su funcionamiento, con el fin de conseguir introducirla en la tienda de apps de Google, saltándose los controles de seguridad de la misma y que, como ya mencionaba anteriormente, analizan con lupa cualquier proceso relacionado con el envío y la recepción de mensajes SMS. Y lo cierto es que el método es ingenioso.
la técnica empleada por los responsables de Joker consiste en enmascarar el código malicioso en el manifiesto de la app, un archivo básico que tiene que acompañar a cualquier aplicación diseñada para este sistema operativo. Para tal fin el código malintencionado se cambia de base y se introduce en androidmanifest.xml. Un documento que, debido a su uso y funciones, no es analizado a la hora de chequear la seguridad de una app antes de autorizarla en Play Store.
De esta manera, además, la app con Joker no tiene necesidad de descargar su payload de algún servidor, otra acción que podría ser detectada en las pruebas de validación de Google. Se trata, sin duda, de una muy inteligente medida para enmascarar las funciones maliciosas dentro de la propia app, de modo que pasen desapercibidas para los controles de seguridad, y que desplieguen todo su potencial una vez que hayan llegado al dispositivo de la víctima.
La entrada Joker: de nuevo en la tienda de apps de Google es original de MuySeguridad. Seguridad informática.