Novas variantes do malware ‘Joker’ invadiram as lojas de aplicativos

Aplicativos Android maliciosos não são novidade, mesmo na supostamente bem protegida Google Play Store. Na verdade, apenas alguns dias atrás, o Google foi forçado a remover 17 aplicativos Android que continham uma família de malware conhecida como “Joker”. Aplicativos Joker se disfarçam como legítimos e podem até fornecer funções úteis para seus usuários – no entanto, algum tempo depois que o aplicativo foi baixado em um determinado dispositivo, seu verdadeiro e sinistro objetivo é alcançado.

No caso dos 17 aplicativos mencionados, esse objetivo envolve passar as informações de SMS de um usuário para inscrevê-lo em serviços de protocolo de aplicativo sem fio premium, de acordo com a empresa de pesquisa de segurança Zscaler.

No entanto, essa invasão de vírus é apenas a mais recente em uma longa sequência de surtos semelhantes do Joker – clusters semelhantes de aplicativos carregados com o Joker apareceram muitas vezes nos últimos anos, com o primeiro chegar aos mercados de Android no final de 2016.

O Joker não seria um problema tão significativo se não fosse por duas coisas: a popularidade dos aplicativos em que foi injetado e sua implantação generalizada não apenas na Google Play Store, mas em uma variedade de lojas de aplicativos Android de terceiros, alguns dos quais têm padrões de segurança ainda mais flexíveis.

De acordo com Zscaler, os 17 aplicativos envolvidos na última operação do Google foram baixados colossais 120.000 vezes no total. São 120.000 vítimas em potencial, e o problema só está piorando: novos relatórios sugerem que 64 novas variantes do Joker já foram descobertas nas últimas semanas.

A empresa de segurança móvel Zimperium descreve a “cadeia de ataque completa” do Joker por meio do seguinte fluxograma:

Primeiro, o aplicativo “decodifica” ou descriptografa strings para obter e carregar uma URL em um arquivo “dex” malicioso. Em seguida, o arquivo dex é baixado da referida URL e carregado no sistema usando “técnicas de reflexão” que invocam o “construtor DexClassLoader”. Por fim, o arquivo executa quaisquer tarefas maliciosas para as quais foi desenvolvido, com o proprietário do dispositivo muitas vezes não sendo informado.

Será difícil para o Google controlar esse fluxo massivo de aplicativos sofisticados e cheios de vírus, mas avisaremos se o problema piorar ou melhorar nos próximos meses.

Enquanto isso, o Android só deve baixar aplicativos de desenvolvedores nos quais eles confiam totalmente e evitar deixar aplicativos não utilizados em seus telefones sem um bom motivo.