Descubierto por Google en 2017 y bautizado como uno de los villanos de comics más esenciales y auténtico icono de la cultura popular, The Joker es un malware que logró el año pasado colarse 24 aplicaciones dentro de la Google Play Store de Android que de forma conjunta habían alcanzado más de 500.000 descargas.

De momento sólo se conocían ataques a la Play Store, pero los analistas de virus de la empresa Doctor Web detectaron la presencia del malware en la AppGallery, la tienda oficial de aplicaciones del productor de dispositivos en Android, Huawei. En total, “nuestros expertos detectaron en AppGallery 10 modificaciones de troyanos de esta familia, descargados por más de 538 000 titulares de dispositivos en Android”.

Al igual que en caso de otras versiones de Android.Joker, las modificaciones detectadas se difundían como si fueran aplicaciones no maliciosas que, al iniciarse, funcionaban “según las expectativas de los usuarios”. Este truco les permite a los creadores de virus permanecer inadvertidos más tiempo e infectar muchos más dispositivos en Android.

Según DrWeb, los troyanos detectados se ocultaban en los teclados virtuales, una aplicación cámara de fotos, launcher (programa de administración de la pantalla de inicio), Messenger online una recopilación de sitckers, programas para colorear, así como en un juego. 8 de ellos fueron difundidos por un desarrollador llamado Shanxi kuailaipai network technology co., ltd, y dos otros por un desarrollador llamado 何斌.

Apps de AppGallery Huawei afectadas

Fun Color: Color Touch Effects
Happy Colour
All-in-One Messenger
Funney Meme Emoji
New 2021 Keyboard
BeautyPlus Camera
Happy Tapping
Color Rollington
Super Keyboard
Camera MX – Photo & Video Camera

El malware fue descargado por más de 538 000 usuarios. Todos ellos no solo corren el riesgo de perder el dinero, sino también pueden afrontar el compromiso de los datos privados.

Según el servicio de prensa de AppGallery, “Al recibir la notificación de la empresa Doctor Web, Huawei ocultó las aplicaciones con malware en la tienda de aplicaciones AppGallery para la seguridad de usuarios. La empresa realizará la comprobación extra para minimizar los riesgos de aparición de programas similares en el futuro”.

Cómo actúa Joker

El virus actúa en 2 fases, y su peligro no es solamente que te roba los datos, sino que también te roba dinero en tiempo real. Así actúa:

Fase 1

Infección del dispositivo usando malware para integrarse en el sistema
Identificación del país en el que se encuentra el terminal
Comunicación Mando y Control C&C con los hackers al mínimo, lo justo para recibir la configuración cifrada

Fase 2

Descifrado del archivo DEX -un archivo ejecutable guardado en un formato que contiene código compilado escrito para Android- y carga de este.
Robo de mensajes SMS, de datos de quien nos envía el mensaje
Robo de la lista de contactos y datos del dispositivo
Interacción con webs de publicidad para sacar dinero a través del móvil infectado
Un malware que te roba dinero
Lo peor de esa segunda fase es que el malware Joker empieza a interactuar con websites de anuncios, usando códigos de autorización para suscripciones premium de esas páginas y simulando clicks en banners y demás, o sea: apuntándonos en servicios publicitarios que no hemos pedido.

A través de esta técnica, Joker puede hacerse con una cantidad determinada de euros por usuario/a a la semana gracias a la automatización del proceso de interactuar con la oferta premiun de una web en concreto.

¿Originario de China?

De cara a maximizar sus ataques pero minimizar sus riesgos de ser pillado, The Joker solamente actúa en un determinado número de países -España incluída. De hecho, muchas de las apps infectadas con este malware poseen una MCC, una lista de códigos de móviles de países, para saber en cuál está operando. Si usas una SIM de uno de los países en el listado, se activa la fase 2 del virus, la que implica los SMS, datos y la acción monetaria.

La mayoría de aplicaciones comprometidas actúan en países de Europa y Asia, y tienen una comprobación adicional para evitar hacerlo en los Estados Unidos o Canadá, aunque algunas apps sí infectan tarjetas SIM norteamericanas.

¿De dónde viene este malware? Aunque seguirle la pista es complicado, lo cierto es que tanto la interfaz de usuario del panel C&C de Joker como algunos de los comentarios en su código base están escritos en chino.

 

Vía Élite Diario