Home Sociedad ¡Santo cibercrimen, Batman! Joker, el malware que comete fraude publicitario y roba...

¡Santo cibercrimen, Batman! Joker, el malware que comete fraude publicitario y roba datos

Dos docenas de aplicaciones, que en conjunto generaron más de 472.000 descargas de la tienda Google Play, fueron infectadas con un nuevo malware para Android llamado Joker, que proporciona una carga útil que perpetra tanto fraude publicitario como robo de datos, según ha informado una empresa de investigación.

El malware de segunda etapa de Joker es un archivo.dex (Dalvik Executable) capaz de robar los mensajes SMS, listas de contactos e información de dispositivos de las víctimas. También interactúa en secreto con los sitios web de publicidad para generar clics falsos, así como para registrar a las víctimas infectadas con suscripciones de servicio premium que no solicitaron, según el analista de malware del CSIS Aleksejs Kuprins, que escribe en el blog tecnológico de su empresa.

Las solicitudes de malware de estas suscripciones no autorizadas, “automatizan la interacción necesaria con la página web de la oferta premium, introduciendo el código de oferta del operador y esperando un mensaje SMS con un código de confirmación y extrayéndolo mediante expresiones regulares”, escribe Kuprins. “Finalmente, el Joker envía el código extraído a la página web de la oferta, para autorizar la suscripción premium.

Kuprins señala que Google estaba al tanto de las aplicaciones maliciosas y ha estado activo en la eliminación de las aplicaciones maliciosas de su tienda, eliminando las 24 “sin ninguna nota de nosotros”.

Joker sólo descarga la carga útil maliciosa si el dispositivo infectado contiene una tarjeta SIM de uno de los 37 países codificados en las aplicaciones. En su puesto, el CSIS identifica a los países siguientes: Alemania, Australia, Austria, Bélgica, Brasil, China, Chipre, Egipto, Emiratos Árabes Unidos, Eslovenia, España, Estados Unidos, Francia, Ghana, Grecia, Honduras, India, Indonesia, Irlanda, Italia, Kuwait, Malasia, Myanmar, Noruega, Países Bajos, Polonia, Portugal, Qatar, Reino Unido, República Argentina, Serbia, Singapur, Suecia, Suiza, Tailandia, Turquía y Ucrania.

Aunque Estados Unidos es uno de los 37 países objetivo, la mayoría de las aplicaciones contienen instrucciones adicionales que impiden que el malware se ejecute en Estados Unidos y Canadá.

El CSIS informa de que la carga útil principal es “pequeña y silenciosa”, utilizando un mínimo de código Java y generando una huella limitada, todo ello con la esperanza de evitar una atención no deseada. Recibe, codifica y ordena a través de HTTP, ejecutando el código a través de llamadas de JavaScript-to-Java para defenderse contra el análisis estático.

Los comentarios del código del malware y la interfaz de usuario de su panel C2 están escritos en chino, una observación que ofrece una posible pista sobre la atribución del ataque.

Traducción realizada con el traductor www.DeepL.com/Translator