I ricercatori di sicurezza dei nostri Quick Heal Security Labs hanno individuato nel Google Play Store due diverse versioni della famiglia di malware Joker: rassicuriamo gli utenti, Google ha provveduto a rimuovere immediatamente le applicazioni dannose dal Play Store, non appena ricevuta la segnalazione. 

Le applicazioni che nascondevano il malware erano due, un traduttore fake chiamato "Free Translator" e un lettore di QR Code chiamato "Easy QR Scanner", entrambe con centinaia di migliaia di download. 

I malware della famiglia Joker sono spyware che rubano dai dispositivi i messaggi SMS, la lista dei contatti e le informazioni sul dispositivo. Interagisce silenziosamente con siti web di advertising e sottoscrive abbonamenti senza che l'utente ne abbia consapevolezza. Il nome Joker si deve ad uno dei domini di comando e controllo al quale risultavano collegate le prime versioni del malware. 

Fin dal suo debutto, la famiglia di malware Joker ha continuato ad insinuarsi nel Google Play Store usando diversi "trucchetti" per superare / bypassare i controlli di sicurezza, va detto sempre più imponenti, che Google ha messo a difesa del proprio store. A Gennaio dello scorso anno Google fece sapere di aver rimosso dal Play Store oltre 1700 applicazioni dannose appartenenti alla famiglia Joker e, da quel momento, il monitoraggio costante ha portato a individuare molte altre app contenenti lo spyware. Il motivo per il quale il malware riesce sempre a reinsiediarsi nel Google Play Store è perchè gli autori del malware continuano ad apportare piccole variazioni al proprio codice o al payload, così da poter evadere o bypassare gli strumenti di individuazione. 

Al lancio, l'applicazione chiede molte permissioni: accesso ai contatti, alla memoria, alla camera, seguite subito dopo dalla richiesta per accedere alle notifiche. L'applicazione sembra funzionare correttamente: aprire la camera e puntarla su un QRcode comporta l'apertura dell'URL relativo. 

Il problema sono però tutte quelle attività dannose che l'app inizia a svolgere in background senza che l'utente ne sia consapevole. La figura sottostante mostra i pacchetti relativi all'applicazione Easy QR Scanner e i suoi payload.


In questo caso sono scaricati 3 payload, ognuno differente dall'altro. Le applicazioni originali vedono perfino l'uso del packer Tencent per nascondere le funzionalità utili al download del payload dannoso. All'esecuzione, per prima cosa viene spacchettata l'applicazione e viene scaricato il payload di primo stadio. 

Questo payload si chiama xiwa.doc e contiene il codice per scaricare il payload dello stadio successivo, kubo.doc. 

Il payload di secondo stadio contiene il codice necessario a verificare il codice dell'operatore (col metodo getSimOperator)  della SIM e per richiedere alcune permissioni. Inoltre si collega ad un sito web per sottoscrivere servizi ad abbonamento. Contiene anche il codice necessario al download del payload i terzo, e ultimo, stadio, chiamato closer.doc. 

E' questo ultimo payload a contenere tutte le informazioni necessarie al funzionamento e al comportamento del malware Joker. La foto sotto mostra la porzione di codice responsabile della raccolta degli SMS. 

Le stringhe sono offuscate così da evitare individuazioni in base alla firma. Grazie a questa funzionalità il malware può intercettare le One Time Password senza necessità che l'utente ne sia consapevole o interagisca in alcun modo: è così che il payload di terzo stadio consente di completare la sottoscrizione ad abbonamenti. 

L'altra applicazione ha mostrato un comportamento del tutto simile.