La compañía de ciberseguridad Zscaler ha descubierto que hasta 17 aplicaciones oficiales de Android han sido contaminadas con el virus Joker. El virus actúa en 2 fases, y su peligro no es solamente que te roba los datos, sino que también te roba dinero en tiempo real. Así actúa:
Fase 1
- Infección del dispositivo usando malware para integrarse en el sistema
- Identificación del país en el que se encuentra el terminal
- Comunicación Mando y Control C&C con los hackers al mínimo, lo justo para recibir la configuración cifrada
Fase 2
- Descifrado del archivo DEX -un archivo ejecutable guardado en un formato que contiene código compilado escrito para Android- y carga de este.
- Robo de mensajes SMS, de datos de quien nos envía el mensaje
- Robo de la lista de contactos y datos del dispositivo
- Interacción con webs de publicidad para sacar dinero a través del móvil infectado
- Un malware que te roba dinero
- Lo peor de esa segunda fase es que el malware Joker empieza a interactuar con websites de anuncios, usando códigos de autorización para suscripciones premium de esas páginas y simulando clicks en banners y demás, o sea: apuntándonos en servicios publicitarios que no hemos pedido.
A través de esta técnica, Joker puede hacerse con una cantidad determinada de euros por usuario/a a la semana gracias a la automatización del proceso de interactuar con la oferta premiun de una web en concreto.
De cara a maximizar sus ataques pero minimizar sus riesgos de ser pillado, The Joker solamente actúa en un determinado número de países -España incluída. De hecho, muchas de las apps infectadas con este malware poseen una MCC, una lista de códigos de móviles de países, para saber en cuál está operando.
Si usas una SIM de uno de los países en el listado, se activa la fase 2 del virus, la que implica los SMS, datos y la acción monetaria.
La mayoría de aplicaciones comprometidas actúan en países de Europa y Asia, y tienen una comprobación adicional para evitar hacerlo en los Estados Unidos o Canadá, aunque algunas apps sí infectan tarjetas SIM norteamericanas.
Aplicaciones infectadas por virus Joker
¿De dónde viene este malware? Aunque seguirle la pista es complicado, lo cierto es que tanto la interfaz de usuario del panel C&C de Joker como algunos de los comentarios en su código base están escritos en chino. A pesar de la seguridad de la Tienda Android, The Joker ha conseguido colarse en otras 17 aplicaciones, algunas de ellas con más de 100.000 descargas, lo que multiplica muchísimo el índice potencial de afectados. Si tienes una de estas apps, bórrala de inmediato:
- All Good PDF Scanner
- Mint Leaf Message-Your Private Message
- Unique Keyboard – Fancy Fonts & Free Emoticons
- Tangram App Lock
- Direct Messenger
- Private SMS
- One Sentence Translator – Multifunctional Translator
- Style Photo Collage
- Meticulous Scanner
- Desire Translate
- Talent Photo Editor – Blur focus
- Care Message
- Part Message
- Paper Doc Scanner
- Blue Scanner
- Hummingbird PDF
- Converter – Photo to PDF