El nuevo malware, identificado como Joker y también conocido como Bread, es una de las amenazas más activas para Android de los últimos tiempos. Este malware es del tipo PHA (Potentially Harmful Application, por sus siglas en inglés), exclusivo para la plataforma Android y especializado en pasar inadvertido en Google Play.

Joker se centra en el fraude de facturación a escala global. Se comenzó a rastrear a principios del 2017, identificándose en aplicaciones específicas que se dividen en dos categorías: fraude de SMS (en versiones anteriores) y fraude de peaje (en versiones más recientes). Ambos tipos de fraude aprovechan las técnicas de facturación móvil que involucran al operador de telefonía.

Los dos métodos de facturación mencionados anteriormente proporcionan la verificación del dispositivo, pero no la verificación del usuario. El operador puede determinar si la solicitud se origina en el dispositivo del usuario, pero no requiere ninguna interacción de éste que no pueda automatizarse. Los autores del malware utilizan inyección de clics, analizadores HTML personalizados y receptores de SMS para automatizar el proceso de facturación sin requerir ninguna interacción por parte del dueño del móvil.

El malware en cuestión sólo ataca a países seleccionados donde la mayoría de las aplicaciones infectadas contiene una lista de códigos móviles por país y funciona con base en la tarjeta SIM del usuario. La mayoría de las aplicaciones descubiertas apuntan al continente europeo y a los países asiáticos, pero algunas apps ignoran este código y pueden impactar en cualquier otro país.

La introducción de nuevas políticas por parte de Google Play Protect como medida de defensa, ha obligado al malware a mutar de forma continua en diversas ocasiones a fin de encontrar huecos de seguridad, agotando todas las técnicas existentes de ocultación y ofuscación en un intento de que las nuevas cepas del malware pasen desapercibidas, y poniendo a prueba todas las fórmulas de control y detección de Google. Entre los métodos que utiliza el malware para no ser detectado se encuentran esquemas de cifrado que incluyen AES, DES y Blowfish, así como esquemas de ofuscación como XOR.

Google, por su parte, ha eliminado 17,000 aplicaciones Android de su tienda oficial que han sido identificadas por tener relación con Joker. Esto implica que el proceso efectuado por Google Play sigue siendo reactivo, permitiendo siempre la subida de aplicaciones a la tienda, y posteriormente eliminándolas al detectarlas como maliciosas, lo que implica un riesgo para el usuario.

Mediante un análisis de código, el gigante de Internet detectó que los operadores del malware utilizan un enfoque de prueba y error dado el gran volumen de variantes y aplicaciones falsas a las que se enfrenta su tienda oficial día con día. Asimismo, la empresa fundada en California citó que al menos existen tres o más variantes activas de Joker en circulación al mismo tiempo usando diversos métodos, observando mayor actividad en horas pico, y se han avistado hasta 23 aplicaciones diferentes de la familia del malware enviadas a Play Store en un solo día. Google mencionó que detecta y elimina la mayoría de ellas antes de que los usuarios las descarguen. Por ello, es importante realizar una revisión continua en la facturación de telefonía móvil, en búsqueda de subscripciones o cargos no reconocidos.

Referencias:
https://blog.phonehouse.es/2020/01/15/malware-android-joker/
https://blog.segu-info.com.ar/2020/01/analisis-del-malware-joker-y-el-fraude.html
https://threatpost.com/joker-androids-malware-ramps-volume/151785/
https://rpp.pe/tecnologia/mas-tecnologia/sehguridad-informatica-todo-sobre-joker-el-nuevo-virus-que-roba-a-los-contactos-de-tu-telefono-usando-suscripciones-noticia-1218667?ref=rpp
https://www.eleconomista.com.mx/finanzaspersonales/Tenga-cuidado-con-Joker-malware-que-puede-robarle-su-dinero-20200114-0107.html