
Joker, il malware via mobile
Non parliamo certamente dell’acerrimo nemico di Batman bensì di una nuova tipologia di malware mobile.
Conosciuto ormai da quattro anni, Joker malware infesta in maniera ricorrente alcune applicazioni Android.
Il malware per Android introduce negli smartphone e prosciuga il credito telefonico degli utenti.
Tra le sue funzionalità, Joker malware attiva servizi a pagamento sui device mobile delle vittime prosciugando completamente il credito residuo sullo smartphone. Tutto questo a completa insaputa dell’utente che si ritrova improvvisamente sprovvisto di credito senza averne dato il consenso.
L’aspetto più preoccupante è che Joker malware si annida all’interno di applicazioni legittime che sono distribuite per mezzo del Play Store di Google.
In questo articolo vi illustreremo nel dettaglio di quali sono le caratteristiche di Joker malware, come identificarlo e quali soluzioni adottare per mettere al sicuro i nostri dispositivi e denaro.
Sommario degli argomenti
Il pericoloso malware Joker ha fatto il suo esordio precisamente dal 2017, all’inizio conosciuto con il nome di Bread malware.
L’obiettivo della minaccia era di infiltrarsi nelle applicazioni mobile di conti bancari e depositi degli utenti, prosciugandoli poco per volta.
Questo tipo di truffa informatica è la cosiddetta WAP Fraud.
Questa tecnica sfrutta il protocollo WAP (Wireless Application Protocol), attraverso alcune funzionalità dialer, così agli hacker è consentito controllare tutto ciò che accade sullo smartphone e di sfruttarne da remoto alcune funzionalità.
Il virus Joker può:
- leggere e nascondere le notifiche
- effettuare chiamate
- inviare SMS in modo completamente autonomo.
Infatti, le prime versioni di Joker malware agivano attraverso la gestione degli SMS.
All’epoca, gli esperti del settore hanno adeguato i sistemi di sicurezza in risposta alla minaccia.
Che strategia utilizza Joker? La stessa identica del trojan: si insinua negli dispositivi tramite un dropper, l’applicazione insospettabile prediletta dai cybercriminali.
Da giugno 2021, malware Joker ha fatto un vero e proprio ritorno trionfale trovando nuova linfa nelle applicazioni apparentemente innocue e scaricate dalla maggioranza delle persone. Ha fatto la propria comparsa anche sull’App Gallery, il negozio alternativo di Huawei messo in piedi dalla società dopo il ban statunitense.
La più recente variante di Joker virus è anche la più pericolosa, senza alcun dubbio, per il fatto che è in grado di colpire una massa consistente di utenti: è sufficiente scaricare l’app infetta per vedere le proprie carte di credito prosciugate.
Joker agisce tramite un programma utilizzato dai cybercriminali per caricare malware, ossia il dropper, una comune applicazione presente all’interno del Play Store, dall’apparenza innocua.
Attualmente, la soglia dei download è intorno ai 70.000+, usando come indicatore le statistiche del Play Store stesso.
Un’app, di cui ne approfondiremo in seguito, ha persino raggiunto quota 50.000, mentre di altre ne rimangono poche sparse per lo Store.
Vi starete chiedendo il motivo del quale queste app superano i controlli di sicurezza Google Play Protect.
I ricercatori hanno scoperto i meccanismi subdoli delle ultime varianti di malware Joker, che vi elenchiamo in questi passaggi:
- Il payload viene creato e inserito nel file Android Manifest, presente all’interno di ogni app e ha lo scopo di inviare ad Android alcune delle proprie informazioni come nome, aggiornamenti, ecc.;
- L’app è sottoposta a valutazione e controllo da parte di Google, ingannandolo e ritardando la propria vera intenzione. Joker risulta “dormiente”, fino a quando il programma non otterrà l’approvazione;
- Alla fine, il payload dannoso.
Nelle versioni del malware scoperte alla fine di luglio, è stato notato l’utilizzo di servizi di abbreviazione URL (come TinyURL, bit.ly, Rebrand.ly, zws.im, 27url.cn) al fine di nascondere i veri URL dei servizi cloud. I cybercriminali hanno inventato questo ultimo stratagemma, con lo scopo di poter scavalcare gli ultimi controlli di sicurezza approvati da Google; - Una volta all’opera, Joker malware provvede a nascondere ogni notifica relativa al download che effettuerà dai server remoti.
Il virus detiene pieni permessi di lettura, ma anche di invio degli SMS necessari appunto per attivare i servizi di abbonamento gestiti dai cybercriminali sulla scheda SIM del malcapitato utente; - La promozione delle app portatrici di Joker è sponsorizzata dagli stessi cybercriminali: vengono pubblicate sul Play Store recensioni false, sempre positive. Il rating elevato comporta i numerosi download dell’app;
- Se scoperta, viene rimossa da Google quando ormai il malware è stato trovato.
Vi abbiamo precedentemente spiegato che i malware come Joker sono attratti da applicazioni di security scanner, sfondi e messaggistica.
Tramite queste app mobile, il malware arriva a contatto con i device delle vittime.
Si consiglia agli utenti che sono in possesso di smartphone e tablet Android, compresi i Galaxy e che hanno scaricato queste applicazioni, di rimuoverle ed eseguire una scansione antivirus utilizzando uno strumento affidabile.
La lista di applicazioni infette da Joker virus è la seguente:
-
Auxiliary Message
-
Fast Magic SMS
-
Free CamScanner
-
Super Message
-
Element Scanner
-
Go Messages
-
Travel Wallpapers
-
Super SMS
-
Free Affluent Message
-
PDF Photo Scanner
-
Delux Keyboard
-
Comply QR Scanner
-
PDF Converter Scanner
-
Font Style Keyboard
-
Translate Free
-
Saying Message
-
Private Message
-
Read Scanner
-
Print Scanner
Il resto delle applicazioni infette non si conta, probabilmente non sono ancora presenti nella lista nera.
Nell’estate 2021, un’analisi dal team di ricerca ThreatLabz su ben oltre 50 app infette ha rilevato un dato fondamentale sull’azione del malware.
Sono state scoperte le categorie di applicazioni più colpite da Joker virus e sono le seguenti:
- Comunicazione (27,5%)
- Fotografia (7,8%)
- Personalizzazione (21,6%)
- Salute e fitness (1,9%)
- Strumenti (41,2%)
Inoltre, è stata rilasciata la seguente dichiarazione:
“Gli sviluppatori di Joker sembrano utilizzare un sistema di dizionario per ricavare i nomi degli editori per le proprie app dannose.
Tutte le app con malware Joker hanno usato nomi completi (nome e cognome) per gli sviluppatori. Ogni sviluppatore ha anche una sola app registrata a suo nome. Queste informazioni servono come indicatori per aiutarci a identificare il potenziale malware Joker – anche se questi criteri possono certamente applicarsi anche alle app legittime”.
Si deve al team informatico Pradeo la scoperta dell’applicazione infetta da Joker, la più scaricata da ignari utenti ben oltre 50.000 volte: stiamo parlando di Color Message ed è, attualmente, ancora disponibile sul Play Store sotto diversi nomi e versioni.
Ad una prima occhiata l’app in questione vanta una valutazione più che positiva: un bel punteggio di 4.8, peccato che basta solo mettere il filtro “valutazione più bassa” per trovare le numerose lamentele da parte degli utenti che l’hanno scaricata.
Il team ha dichiarato: “La nostra analisi dell’applicazione Color Message, attraverso il motore Pradeo Security, mostra che accede all’elenco dei contatti degli utenti e lo esfiltra attraverso la rete.
Contemporaneamente, l’applicazione si iscrive automaticamente a servizi a pagamento indesiderati sconosciuti agli utenti.
Per rendere difficile la rimozione, l’applicazione ha la capacità di nascondere l’icona una volta installata.
I termini e le condizioni molto concisi dell’applicazione sono ospitati su un blog di una pagina senza marchio e non rivelano l’entità delle azioni compiute sui dispositivi degli utenti. Una delle vittime ha persino provato a contattare lo sviluppatore dell’applicazione attraverso la sezione commenti della pagina legale, altri utenti si lamentano direttamente della frode nella sezione commenti dell’app sullo store.
Pradeo ha prontamente avvisato Google, in seguito alla scoperta.
Prendere le distanze dal malware Joker è possibile.
Al fine di proteggere i vostri dati e i device di cui siete in possesso, specialmente se si tratta di dispositivi Android, vi consigliamo di adottare le seguenti best practice come linee guida.
-
Se volete scaricare alcune app, prediligete quelle sviluppate da software house riconosciute, premiate e affidabili;
-
Disattivare le installazioni automatiche di applicazioni;
-
Leggere attentamente i messaggi pop-up ricevuti dal sistema Android prima di accettare e/o consentire nuove autorizzazioni;
-
Non fare clic su collegamenti sconosciuti ricevuti tramite messaggi o nelle chat dei social media;
-
Imparate a identificare le app contraffatte: fate una ricerca accurata su Internet dei loro nomi, degli sviluppatori e dei commenti degli utenti;
-
Verificate che le descrizioni delle app dannose siano scritte in italiano, o nella lingua originale, senza errori di battitura;
-
Controllare il sito web dello sviluppatore se ne possiede uno;
-
Quando leggete le recensioni, focalizzare l’attenzione sulle motivazioni delle recensioni negative.
-
Controllare il numero di download: le applicazioni più diffuse hanno un elevato numero di download.
-
Non scaricare applicazioni da app store di terze parti o collegamenti forniti in SMS, e-mail o messaggi WhatsApp/Telegram;
-
Evitare di installare applicazioni che vengono scaricate dopo aver fatto clic su un annuncio pubblicitario;
- Utilizzare un antivirus affidabile per proteggervi da tutti i malware, anche su smartphone.
Google ha già eliminato dal proprio Play Store le app elencate nella lista nera, ma questa azione intrapresa non ci mette al riparo completo se ne abbiamo scaricato e installato una di esse. Joker malware continuerà a funzionare e persisterà nella sua missione di compromettervi il vostro dispositivo.
La soluzione definitiva resta quella di eliminare manualmente le applicazioni mobile dannose dai dispositivi, disinstallandola dall’elenco tramite l’app di gestione Play Store.
Non è finita. La miglior difesa da malware simili a Joker non si risolve con la mera disinstallazione dell’app: c’è il rischio che gli abbonamenti indesiderati restino attivi.
Non bisogna dimenticare di abbassare la guardia: si consiglia di effettuare continui controlli, nella sezione abbonamenti, alla ricerca di movimenti non autorizzati, sempre all’interno del Google Play Store.
Onorato Informatica
Noi di Onorato Informatica ti offriamo servizi di protezione personalizzati che ti consentono di tenere la tua rete lontana da attacchi e virus informatici. La nostra azienda opera da oltre 10 anni nel settore, è certificata ISO 27001 e 9001 ed è composta da un team competente e sempre aggiornato.
Siamo specializzati nei servizi di Vulnerability Assessment e Penetration Test da 15 anni.
Grazie ai nostri servizi proteggi la tua attività, i tuoi dipendenti/collaboratori e la tua clientela, poiché hai la possibilità di tenere al sicuro tutte le informazioni e i dati personali contenuti all’interno delle pagine web e delle altre risorse informatiche in tuo possesso.
Contattaci per maggiori informazioni e richiedi un preventivo personalizzato in base alle tue specifiche esigenze.
- Autore articolo
- Ultimi articoli

Iasmin Prati ha raggiunto il suo quarto di secolo, e il suo CV sembra una mappa concettuale. Cosa c’è in comune a tutte le sue attività? La sensibilizzazione per la libertà d’espressione e la particolare attenzione alle tematiche etiche.