Joker e le sue varianti: come funziona il malware che attacca gli smartphone Android

Qualche settimana fa abbiamo riportato la (cattiva) notizia del ritorno di Joker sulla scena mobile, a conferma delle potenzialità di uno dei malware Android più difficili da estirpare. Le sue origini risalgono addirittura al lontano 2017, quando un virus – in principio conosciuto sotto il nome di "Bread" – si era fatto strada tra gli smartphone equipaggiati dal sistema operativo mobile di Google, compromettendo la sicurezza (e il portafogli) dei suoi utenti. Quattro anni più tardi, Joker si conferma ancora attivo, sia pure con connotati e conformazioni in parte differenti rispetto al passato.

Pur mantenendo lo stesso nome, il celebre malware Android ha infatti dovuto adattarsi ai crescenti meccanismi di protezione antivirus di Google: i cybercriminali che stanno dietro a Joker hanno così puntualmente escogitato degli stratagemmi atti a bypassare i motori di analisi del Google Play Protect. Ci troviamo dunque di fronte a un virus estremamente dinamico, capace di mutare pelle e proprio per questo pericoloso per gli utenti.

Nei quattro anni di militanza e nelle varie declinazioni assunte, Joker è sempre stato piuttosto coerente nei suoi principi di base: l'obiettivo principale del malware è svuotare il credito residuo della scheda SIM dello smartphone Android attraverso l'attivazione inconsapevole e indisturbata di servizi a pagamento, naturalmente gestiti dagli stessi cybercriminali.

Il malware utilizza perciò la tecnica del WAP fraud basata sullo standard WAP, l'acronimo di Wireless Application Protocol, e sfrutta funzionalità di dialer per avere il pieno controllo di tutto ciò che accade sullo smartphone: è infatti in grado di leggere le notifiche che arrivano sul dispositivo infetto e può inviare in autonomia SMS.

Nelle prime versioni, le attività malevole di Joker venivano compiute tramite SMS, ma è soltanto di recente che il temutissimo malware si è evoluto attraverso l'utilizzo di sofisticati congegni. Come spiegato infatti dai ricercatori di sicurezza, il virus trova adesso linfa da applicazioni apparentemente innocue, a tal punto da essere ospitate all'interno del Play Store e perciò teoricamente sicure per tutti coloro che le scaricano. Quest'ultima variante di Joker è senza dubbio la più pericolosa, dal momento che potenzialmente in grado di colpire la massa indifferenziata di utenti: basta soltanto scaricare l'app sbagliata per vedersi svuotato il portafogli.

E di applicazioni portatrici di Joker ne abbiamo viste molte, più precisamente oltre 1.700 da quando il virus ha cambiato pelle.

La variante più recente di Joker si serve di un cosiddetto "dropper", ossia un programma che viene utilizzato dai cybercriminali con lo scopo di caricare dei malware dentro al dispositivo su cui è installata l'app. Il dropper è perciò una comune applicazione presente all'interno del Play Store e non dissimile, almeno all'apparenza, alle restanti alternative che è possibile scaricare nel negozio di app per Android. Stando ad alcune rilevazioni statistiche, Joker è stato trovato dentro a programmi appartenenti a categorie piuttosto variegate, nella maggior parte dei casi inquadrate come strumenti (soprattutto app antivirus), ma anche in app di personalizzazione, di messaggistica e di fotografia; più rara, invece, la presenza in programmi di fitness.

I ricercatori di Check Point hanno spiegato come funzionano le ultime varianti di Joker: quest'ultimo costruisce innanzitutto il suo payload e lo inserisce nel file Android Manifest (che è presente dentro ogni app e ha lo scopo di inviare ad Android alcune informazioni relative all'applicazione medesima, come il nome, l'icona e i permessi); l'app viene poi sottoposta a valutazione e controllo da parte di Google ed è in questo frangente che Joker risulta "dormiente", almeno fino a quando il programma non otterrà la piena e fatidica approvazione.

Si arriva così all'ultima fase, rappresentata dal caricamento del payload dannoso. Nelle versioni di Joker scoperte alla fine di luglio, i ricercatori di sicurezza hanno inoltre notato che il virus ha fatto utilizzo di servizi di abbreviazione URL (come TinyURL, bit.ly, Rebrand.ly, zws.im, 27url.cn) al fine di nascondere i veri URL dei servizi cloud. Si tratta di uno stratagemma aggiuntivo messo in atto dai cybercriminali in risposta agli ultimi accorgimenti di sicurezza approntati da Google.

Una volta all'opera, Joker provvede a nascondere ogni notifica relativa al download che effettuerà dai server remoti. Il virus ha infatti pieni permessi di lettura, ma anche di invio degli SMS, necessari appunto per attivare i servizi di abbonamento gestiti dai cybercriminali sulla scheda SIM del malcapitato utente. Al di là dei tecnicismi, c'è poi un'altra parte importante della truffa elaborata dagli hacker ed è quella della promozione delle app portatrici di Joker: le recensioni sul Play Store sono nella maggior parte dei casi fasulle e il rating elevato costituisce un evidente incentivo per il download dell'app, che viene poi rimossa da Google soltanto dopo la scoperta del malware.

Occhi dunque bene aperti.