Hasta 64 nuevas versiones del ya conocido troyano para Android, Joker, han sido descubiertas por el equipo de investigadores de Zimperium como parte de su alianza con Google para la defensa de la seguridad del ecosistema de aplicaciones de Android.
A modo de recordatorio, Joker es una conocida familia de troyanos que lleva con nosotros desde 2017. Su modelo de ataque consiste en suscribir a las víctimas a servicios de SMS premium sin que éstos se enteren. Para conseguirlo utiliza técnicas de cifrado para obtener las URLs maliciosas desde donde descargará el resto de componentes del malware.
El proceso que se sigue es el siguiente:
- El usuario instala una muestra de Joker.
- La víctima abre por primera vez la aplicación infectada.
- Joker comprueba si la URL de descarga del payload está disponible, sino continúa con su funcionamiento legítimo.
- Si la URL de descarga está disponible, el troyano descarga un fichero .dex, el cual será cargado de forma dinámica por la aplicación maliciosa.
- Por último, el malware contactará con el servidor de control y comando con la información necesaria para suscribir a la víctima a los servicios de pago.
Para que todo este proceso tenga éxito, Joker necesita implementar una serie de técnicas para sortear a los programas antivirus. La primera de ellas consiste en cifrar la URL desde la que se descarga el payload.
El segundo paso es descargar el payload (el fichero .dex), que por lo general tendrá una extensión diferente para no levantar sospechas (.mp3, .css, .json, …). Por ejemplo https[://b]lackdragon.oss-ap-southeast-5.aliyuncs.com/phoenix_black.css
Cuando se obtiene el payload, Joker utiliza técnicas de inyección de código y nombres de paquetes conocidos para ocultarse. Esto dificulta la labor de los analistas, ya que es muy común que las aplicaciones utilicen paquetes y librerías de terceros.
Las versiones más recientes de Joker incluyen algunas variantes:
En un intento de no levantar sospechas por culpa de las cadenas ofuscadas, el cifrado a evolucionado a uno de tipo AES.
Para ocultar las cadenas requeridas por el malware, Joker recupera las cadenas cifradas de los recursos (/resources/values/strings.xml) para descifrarlas usando AES/ECB.
Para inyectar el código malicioso, las nuevas versiones de Joker utilizan funciones del «Content provider». Este «proveedor de contenido» es un componente que proporciona Android para compartir información entre diferentes aplicaciones.
Como puede verse en las capturas, el código inyectado utiliza el nombre de un SDK ampliamente utilizado como es ‘com.unity3d.player‘.
El equipo de Zimperium ha compartido algunos indicadores de compromiso que puede utilizar para alimentar sus sistemas de detección:
Servidores de control y comando
Nombres de paquete utilizados por las muestras detectadas
Dominios utilizados para descargar el fichero DEX
- http[://blackdragon02[.oss-ap-southeast-5.aliyuncs[.com
- http[://hardwarestandards[.shop
- http[://purchasingmanagers[.club
- https[://blackdragon[.oss-ap-southeast-5.aliyuncs[.com
- http[://ruik[.oss-ap-southeast-5.aliyuncs[.com
- http[://goldencity[.oss-ap-southeast-5.aliyuncs[.com
- https[://were4o5[.oss-ap-southeast-5.aliyuncs[.com
- https[://ver20200908[.oss-eu-west-1.aliyuncs[.com
- https[://nuyehgack[.oss-ap-southeast-5.aliyuncs[.com
- http[://dejunior[.oss-eu-central-1.aliyuncs[.com
- https[://jk8681oy[.oss-eu-central-1.aliyuncs[.com
- https[://n47n[.oss-ap-southeast-5.aliyuncs[.com
- https[://rainyman[.oss-ap-southeast-5.aliyuncs[.com
- http[://fbgufra07[.oss-ap-southeast-5.aliyuncs[.com
- http[://gseven[.oss-ap-southeast-5.aliyuncs[.com
- https[://http://aisunani[.oss-ap-southeast-3.aliyuncs[.com
- http[://fdsr234-1301476296[.cos.eu-frankfurt.myqcloud[.com
- http[://gfd3424-1301476296[.cos.ap-mumbai.myqcloud[.com
- http[://hkkg34fd-1301476296[.cos.na-siliconvalley.myqcloud[.com
- https://unaaldia.hispasec.com/2020/07/el-troyano-para-android-joker-sigue-colandose-en-google-play.html
Más información:
Joker is No Laughing Matter: 64 New Variants Discovered in Less Than a Month
Deja una respuesta