Foram eliminadas mais de 1700 apps da Playstore nos últimos três anos que estavam infetadas com o malware Joker.

O malware é um código malioso camuflado como uma app de sistema e que permite que os atacantes consigam fazer uma série de operações maliciosas como desabilitar o serviço da Play Store, instalar outras apps maliciosas e gerar reviews falsas.

O principal objetivo do malware é roubar mensagens, listas de contacto e informação do dispositivo, além de registar as vítimas em serviços premium.

Parte do código inclui técnicas de evasão bastante avançadas, que escapam às verificações da Google Play, por exemplo consegue esconder essas técnicas com frameworks de publicidade.

Processo de instalação

Assim que a app acaba a instalação, aparece um ecrã com um "splash", mas por trás começa a desencadear várias outras operações.

Instala também um segundo ficheiro DEX, e recebe comandos e código dinâmico usando HTTP, o que torna extremamente difícil a análise estática.

As versões mais recentes do malware estavam envolvidas numa fraude que envolvia as faturas das vítimas, e consistia em convencê-las a subscreverem ou comprarem vários tipos de conteúdo a partir das faturas do seu número de telemóvel. E isto acontece, porque, como os aparecem na fatura como sendo do dispositivo, o provedor não pode determinar que não foi da vítima, ou seja, é algo que não consegue ver ou determinar se foi automatizado. E como grande parte do código envolve também cliques injetados, parsers de HTML e receptores de SMS, não requere qualquer interação com o utilizador.

Mais informações: https://www.bleepingcomputer.com/news/security/google-removed-over-17k-joker-malware-infected-apps-from-play-store/