Joker: ecco come funziona il virus che minaccia gli smartphone android

Joker è tornato: Come funziona il virus che attacca gli smartphone Android

Era il 2017 quando per la prima volta, nel mondo android, fece la propria apparizione Joker, un malware all’epoca noto con il nome “Bread”, in grado non solo di compromettere la sicurezza degli utenti, ma anche di derubarli del proprio credito.

Purtroppo, a fine 2021, a distanza di ormai oltre 4 anni dalla sua prima apparizione, questo malware è ancora in circolazione e proprio come un virus dalle infinite varianti, continua a minacciare la sicurezza e i portafogli di migliaia di utenti Android.

Proprio come un virus vero e proprio, Joker, per sopravvivere, in questi anni, è mutato ed ha adottato meccanismi di protezione dagli antivirus ed i sistemi di controllo e analisi delle app di Google Play Protect, che analizza il codice delle app prima di approvare la loro distribuzione sul Google play store.

Le varie mutazioni e trasformazioni di Joker, va precisato, non avvengono in modo casuale e naturale come in un virus organico, ma, al contrario, trattandosi di un virus informatico, o per essere più precisi di un malware, sono messe in atto dagli hacker che stanno dietro a questo software malevolo. In altri termini, i pirati informatici che hanno sviluppato Joker, sono molto attivi nel tenere aggiornata la propria creatura il cui unico scopo è derubare utenti ignari.

Come si comporta Joker?

Da oltre quattro anni, Joker vive e muta di continuo, ma pur cambiando aspetto e in parte forma, per eludere i sistemi di sicurezza, il virus ha sempre mantenuto una certa coerenza nel proprio funzionamento e nei propri obiettivi, in particolare quello di svuotare il credito residuo delle SIM presenti negli smartphone infetti attraverso l’attivazione di servizi di in abbonamento e pagamento, dirottano così il credito dalle SIM degli utenti alle tasche dei criminali informatici.

Questo tipo di operazione o truffa informatica che consiste nell’attivare servizi a pagamento all’oscuro dell’utente è detta WAP Fraud. Questa tecnica sfrutta il protocollo WAP (Wireless Application Protocol) da cui il nome e, grazie ad alcune funzionalità dialer, consente agli hacker di controllare tutto ciò che accade sullo smartphone e di utilizzarne da remoto alcune funzionalità. In altri termini il virus può leggere e nascondere le notifiche, effettuare chiamate e inviare SMS in modo completamente autonomo e all’oscuro dell’utente.
Ed è proprio attraverso la gestione degli SMS che agivano le prime versioni di Joker, il virus infatti inviava SMS per infettare altri dispositivi ed abbonarsi ai servizi a pagamento gestiti dagli hacker per derubare gli utenti.

Nelle ultime versioni del software invece, questo pericoloso virus informatico, ha adottato sistemi più avanzati e complessi per la propria diffusione, senza però mutare troppo il proprio modus operandi. Gli hacker hanno infatti deciso di utilizzare una tecnica, per la diffusione del virus, una tecnica chiamata “dropper”.
Quando si parla di Dropper, si parla generalmente di un software apparentemente innocuo, che ha lo scopo di infettare il dispositivo. Si tratta in altri termini di una sorta di versione evoluta dei vecchi trojan per pc, un vero e proprio cavallo di troia per dispositivi Android che porta il codice malevolo nel dispositivo aggirando i sistemi di sicurezza.
Stando a quanto è stato rivelato da Google, sono state intercettate dai sistemi di controllo di Android, quasi 2000 applicazioni nel cui codice si annidava Joker, rivelando inoltre che, la maggior parte di queste applicazioni, è stata individuata nella categoria strumenti e si tratta soprattutto di applicazioni freemium, ovvero app gratuite con alcune funzionalità a pagamento, che giustificavano quindi la richiesta di alcuni permessi necessari al funzionamento del virus. Queste app sono state trovate principalmente tra le app antivirus, app di personalizzazione, app di messaggistica e fotografia, più precisamente app di fotoritocco e fotocamere alternative.

Il funzionamento delle ultime varianti di Joker

L’attenzione degli analisti di Google e delle varie società di sicurezza informatica nei confronti dei possibili virus che possono infettare le app presenti nel play store è molto alta, e Joker, una delle principali spine nel fianco per il mondo Android, è un osservato speciale e di recente, Check Point una società israeliana di sicurezza informatica, ha rilasciato un documento in cui spiegava nel dettaglio il funzionamento delle ultime varianti di Joker.

Quando Joker infetta un sistema Android, è inizialmente dormiente, questo gli permette di non essere individuato dai vari sistemi di controllo e si attiva solo dopo essere stato installato nel sistema quando il dispositivo è ormai infetto.

Joker si insinua così nel dispositivo e, attraverso il file Android Manifest dell’app infettata riesce ad ottenere il controllo delle funzioni di cui necessita per derubare l’utente.

Il file android manifest è un file estremamente importante per le app android, perché consente loro di comunicare con il dispositivo ed indicare le principali informazioni e funzioni dell’app, tra queste informazioni vi sono l’icona, il nome e i permessi richiesti dall’app per funzionare.

Il file manifest viene attentamente analizzato dai sistemi di sicurezza di android quando l’app viene presentata al play store, perché grazie ad esso, in teoria, android può capire se un’applicazione è potenzialmente malevola, per fare un esempio, se un app “calcolatrice” richiede, tra i propri permessi, l’accesso alla gestione dei pagamenti e la possibilità di inviare SMS, probabilmente c’è qualcosa di anomalo e vengono effettuati controlli aggiuntivi per accertarsi che l’app sia sicura, o, come spesso accade, l’app viene respinta.

Gli sviluppatori di Joker hanno però trovato un modo abbastanza semplice per introdurre il virus nelle app, senza mettere in allerta i sistemi di sicurezza, sfruttando applicazioni che, in un modo o nell’altro possano avere una motivazione valida per richiedere determinati permessi, un e un malware “dormiente” durante la fase di controllo che, solo in un secondo momento, quando l’app è installata, si aggiorna all’oscuro dell’utente con dei download fantasma trasformando l’app, inizialmente innocua, in un pericoloso strumento per derubare l’ignaro utente.

Il download dei file mancanti del virus e delle sue varianti, hanno osservato i ricercatori di check Point, avviene attraverso servizi in cloud, i cui URL effettivi sono nascosti da comunissimi servizi di abbreviazione degli URL e numerosi redirect 301, ovvero indirizzando gli utenti verso una pagina che a sua volta reindirizza verso una diversa pagina web.

In altri termini il virus entra nel dispositivo android attraverso un app innocua, una volta installato inizia una fase di incubazione che prevede diversi download fantasma grazie alla capacità di nascondere le notifiche e, una volta terminato il download dei file e l’aggiornamento del virus, Joker può iniziare ad operare attivando, all’oscuro dell’utente, servizi in abbonamento che svuotano il credito della SIM e riempiranno le tasche dei truffatori.

Come proteggersi da queste truffe?

Se infatti google è riuscito efficacemente ad intercettare e bloccare moltissime app infette, è altresì vero che molte altre sono sfuggite ai suoi controlli, bisogna quindi prestare molta attenzione alle app che si installano sul proprio dispositivo android, che sia un tablet o uno smartphone.

Una buona prassi per evitare di essere infettati da Joker, dalle sue varianti o da altri virus analoghi, è cercare, il più possibile, di evitare l’installazione di app non presenti nel play store, poiché installare app esterne da sorgenti non sicure, utilizzando file apk, espone a enormi rischi per la sicurezza in quanto quelle app non sono state verificate e potrebbero essere portatrici di virus ben più pericolosi di Joker.

Se tuttavia abbiamo necessità, per una qualsiasi ragione, di installare un app esterna al play store, è buona prassi accertarsi sempre che i permessi richiesti dall’app siano in linea con quello che andrà a svolgere l’app che state installando. Durante le fasi di installazione Android ci comunicherà i permessi richiesti dall’applicazione, e a quel punto l’utente può scegliere di concedere tutti i permessi richiesti, concederne solo alcuni, installare l’applicazione senza concedere alcun permesso o interrompere l’installazione. Come nell’esempio sopracitato, se l’app di una calcolatrice richiede il permesso di inviare SMS e gestire i pagamenti tramite google pay, forse è il caso di fare qualche controllo in più o banalmente di non continuare l’installazione perché c’è qualcosa di sospetto in quell’app.

Lo stesso discorso vale per le app installate direttamente dal play store, anche in questo caso, in fase di installazione, android comunicherà all’utente i permessi richiesti dall’app e sarà compito dell’utente scegliere se e quali permessi concedere e se l’app richiede qualche permesso anomalo, forse è il caso di fare qualche controllo in più o cercare un’ app alternativa.

Il play store offre all’utente anche un diverso strumento di controllo, anche se indiretto, ovvero le recensioni e i feedback degli utenti. I ricercatori di Check point, hanno osservato che, la maggior parte delle app infette da Joker, individuate nello store, erano accompagnate da numerose recensioni fake, generate presumibilmente da bot in modo automatico.

Controllare le recensioni delle app può sembrare un qualcosa di banale, ma è un ottimo sistema per capire se l’app può essere più o meno pericolosa, oltre che farsi un idea della qualità dell’applicazione. Inoltre, riconoscere le recensioni fasulle e fraudolente è relativamente semplice, nella maggior parte dei casi infatti, queste recensioni sono molto sgrammaticate, realizzate con un traduttore automatico, molto simili tra loro e molto breve, inoltre, spesso sono lasciate da utenti con nomi improbabili.

Ultimo ma non meno importante, per essere sicuri che non siano presenti app infette nel vostro smartphone, controllate periodicamente lo status della vostra SIM attraverso l’app del vostro operatore telefonico o sul loro sito accedendo con le vostre credenziali.

Come liberarsi delle app infette dal proprio smartphone

Se, nonostante tutte le attenzioni sopraelencate, il vostro smartphone dovesse comunque infettarsi, perché avete avuto la sfortuna di installare un app infettata da Joker, è possibile comunque limitare i danni, anzitutto rimuovendo l’installazione e soprattutto, disattivando i servizi in abbonamento che sono stati attivati sulla vostra SIM.

Per disattivare i servizi in abbonamento o per conoscere eventuali servizi in abbonamento attivi sulla vostra SIM, è sufficiente contattare l’assistenza clienti del vostro gestore telefonico o più semplicemente utilizzare l’app ufficiale del gestore per controllare lo status della vostra SIM e, qualora dovessero essere presenti servizi in abbonamento che non sapevate di aver sottoscritto, potete disattivarli immediatamente.

App infette da Joker

Nelle ultime settimane, l’analista Tatyana Shishkova, di Kaspersky, una società specializzata nella produzione di software per la sicurezza informatica, ha pubblicato su twitter un elenco di sette applicazioni che risultano infettate da Joker.

Se avete installato una di queste applicazioni nel vostro smartphone Android, l’invito è quello a verificare i passaggi del paragrafo precedente per accertarvi che non siano stati attivati servizi in abbonamento sulla vostra SIM

COMMENTI