Kasperski, empresa de ciberseguridad, alertó en 2019, sobre la aplicación CamScanner, un creador de archivos PDF que era un éxito de descargas entre los usuarios y había sido contaminado con un troyano; se habían detectado más de 200 aplicaciones infectadas por un código malicioso apodado como “Simbad”, que estuvieron disponibles en la tienda oficial Google Play, y que afectaron a 150 millones de usuarios.
Más adelante, 7 apps fueron eliminadas de Google Play porque se dedicaban a espiar a quien las llevaba en su smartphone sin saberlo; hoy hay un nuevo malware: THE JOKER.
Nuevo malware Joker
Bautizado como uno de los villanos de comics más esenciales, The Joker es un malware que ha logrado colarse en muchas aplicaciones dentro de la Google Play Store de Android. El virus actúa en 2 fases, y su peligro no es solamente que te roba los datos, sino que también te roba dinero en tiempo real.
Te podría interesar
Así actúa:
Fase 1
Infección del dispositivo usando malware para integrarse en el sistema
Identificación del país en el que se encuentra el terminal
Comunicación Mando y Control C&C con los hackers al mínimo, lo justo para recibir la configuración cifrada
Fase 2:
Descifrado del archivo DEX -un archivo ejecutable guardado en un formato que contiene código compilado escrito para Android- y carga de este.
Robo de mensajes SMS, de datos de quien nos envía el mensaje
Robo de la lista de contactos y datos del dispositivo
Interacción con webs de publicidad para sacar dinero a través del móvil infectado
Un malware que te roba dinero
Lo peor de esa segunda fase es que el malware Joker empieza a interactuar con websites de anuncios, usando códigos de autorización para suscripciones premium de esas páginas y simulando clicks en banners y demás, o sea: apuntándonos en servicios publicitarios que no hemos pedido. A través de esta técnica, Joker puede hacerse con hasta 6,71 euros a la semana en países como Dinamarca gracias a la automatización del proceso de interactuar con la oferta premiun de una web en concreto.
De cara a maximizar sus ataques pero minimizar sus riesgos de ser pillado, The Joker solamente actúa en un determinado número de países. De hecho, muchas de las apps infectadas con este malware poseen una MCC, una lista de códigos de móviles de países, para saber en cuál está operando. Si usas una SIM de uno de los países en el listado, se activa la fase 2 del virus, la que implica los SMS, datos y la acción monetaria.
La mayoría de aplicaciones comprometidas actúan en países de Europa y Asia, y tienen una comprobación adicional para evitar hacerlo en los Estados Unidos o Canadá, aunque algunas apps sí infectan tarjetas SIM norteamericanas.
Aplicaciones infectadas
¿De dónde viene este malware? Su código base están escritos en chino.
Según la Policía de Bélgica, estas ocho aplicaciones son las que han arrojado positivo en cuanto a tener el malvado virus:
- Auxiliary Message
- Element Scanner
- Fast Magic SMS
- Free CamScanner
- Go Messages
- Super Message
- Great SMS