Joker es una de las familias de malware más destacadas que constantemente ataca a los dispositivos Android. A pesar de que este malware en particular es bien conocido, se sigue introduciendo en el tienda oficial de aplicaciones de Google mediante el empleo de cambios en su código, métodos de ejecución o técnicas de recuperación de carga útil.
Este software espía está diseñado para robar mensajes SMS, listas de contactos e información de los dispositivos, además de espiar silenciosamente a la víctima en servicios premium de protocolo de aplicaciones inalámbricas (WAP, por sus siglas en inglés).
Zscaler ThreatLabZ, el equipo de investigación de Zscaler, lleva tiempo vigilando la actividad del peligroso malware Joker. Recientemente, hemos visto cargas periódicas del malware en la tienda de Google Play. El equipo de seguridad de Android de Google, una vez que fue informado por Zscaler, tomó medidas rápidamente para eliminar las aplicaciones sospechosas (listadas más adelante) de la tienda de Google Play.
Esto llevó a evaluar el éxito de Joker en el proceso de verificación de Google Play. Identificamos 17 desarrollos distintos subidos a Google Play en septiembre de 2020. En total, estas aplicaciones maliciosas tuvieron un total de alrededor de 120.000 descargas.
Los siguientes son los nombres de las aplicaciones infectadas que descubrimos en la tienda de Google Play:
- All Good PDF Scanner
- Mint Leaf Message-Your Private Message
- Unique Keyboard – Fancy Fonts & Free Emoticons
- Tangram App Lock
- Direct Messenger
- Private SMS
- One Sentence Translator – Multifunctional Translator
- Style Photo Collage
- Meticulous Scanner
- Desire Translate
- Talent Photo Editor – Blur focus
- Care Message
- Part Message
- Paper Doc Scanner
- Blue Scanner
- Hummingbird PDF Converter – Photo to PDF
- All Good PDF Scanner
(Todas estas aplicaciones han sido ya retiradas de Google Play).
Índice de temas
Escenario 1: Descarga directa
En algunas de las variantes de Joker, vimos que la carga útil era entregada a través de una URL directa recibida del servidor de comando y control (C&C). En esta variante, la aplicación infectada de la tienda de Google Play tiene la dirección de C&C oculta en el propio código con ofuscación de cadenas. Observamos que la cadena “sticker” se usaba para romper la dirección C&C y ocultarla de la simple búsqueda de grep o de cadenas.
Una vez instalada, la aplicación infectada contacta con el servidor de C&C, que responde con la URL de una carga útil. Este archivo JSON también tiene la información relacionada con el nombre de la clase que debe ser ejecutada desde la carga final para realizar todas las actividades maliciosas.
Al recibir la configuración JSON desde el C&C, la aplicación infectada descarga la carga útil desde la ubicación recibida y la ejecuta.
Escenario 2: Descarga de una sola vez
En algunas aplicaciones, observamos que, para recuperar la carga útil, la aplicación de Google Play infectada utiliza un stager payload o descarga escalonada. Aquí la aplicación infectada de la tienda de Google Play tiene la URL de la carga útil codificada en el propio código, encriptado con el Estándar de Cifrado Avanzado (AES). Al infectarse, a diferencia del escenario 1, descarga la carga útil del juego en lugar de una carga útil final.
El trabajo de esta carga útil es sencillamente recuperar la URL de la carga útil final del código y descargarla. Junto con la descarga de la carga útil, es responsable de ejecutar igualmente de ejecutarla.
En la descarga escalonada, también vimos algunas tácticas diferentes utilizadas por el autor del malware para ocultar la URL del payload final. Vimos casos en los que la carga final se ofusca con AES y, en algunos casos, vimos que se utilizaba una simple operación de cambio para ofuscar la URL de la carga final.
En algunos casos, el URL de la carga final también estaba en texto sencillo.
Al ejecutarse, se descarga la carga útil, que es el malware del Joker que realiza todas tipo de actividades de infección, desde suscripción a servicios SMS premium hasta actividades de spyware.
Escenario 3: Descarga en dos etapas
En algunos grupos de aplicaciones infectadas de Google Play, vimos descargas de payload de dos etapas utilizadas para recuperar la carga útil final. En este caso, la aplicación infectada de Google Play descarga la carga útil de la etapa uno, que descarga la carga útil de la etapa dos, que finalmente carga el payload final de Joker. Curiosamente, a diferencia de los dos escenarios anteriores, la aplicación infectada contacta con el servidor de C&C para la URL de la carga útil de la etapa uno, que la oculta en el encabezado de la ubicación de respuesta.
Al infectar el dispositivo, la aplicación infectada descarga la carga útil de la etapa uno de la URL recibida del C&C en el encabezado de respuesta. Como en el escenario dos, el objetivo de este payload es simplemente descargar otro payload pero esta vez no será el payload final.
Una vez ejecutada la carga de la etapa uno, descarga la correspondiente a la etapa dos. La carga de la etapa dos tiene el mismo comportamiento que la de la etapa uno. Incluye el URL codificado, que recupera la carga final.
Detalles de la carga útil final
Aunque estas variaciones fueron usadas por el Joker para llegar a la carga final, vimos que la misma carga final se descargó en todos los casos.
La carga final también emplea la ofuscación de cadenas para ocultar todas las cadenas importantes. Utiliza la cadena “nus106ba” para romper todas las cadenas importantes y esconderlas de una búsqueda simple de cadenas.
Recomendación
Desde Zscaler recomendamos siempre prestar mucha atención a la lista de permisos de las aplicaciones que se instalen en un dispositivo Android, sobre todo a los permisos relativos a los SMS, registros de llamadas, contactos y más. La lectura de los comentarios o reseñas en la página de la aplicación también ayuda a identificar aquellas aplicaciones comprometidas.
