“El juego del calamar” usado como cebo por el malware Joker para infectar dispositivos Android

A la hora de conseguir nuevas víctimas, los delincuentes utilizan todo tipo de estrategias. Una de ellas consiste en usar algún acontecimiento relevante, persona famosa o, como en este caso, una serie de moda para atraer la atención de los usuarios y conseguir que descarguen malware en sus dispositivos. La serie de moda ahora mismo es “El juego del calamar” por lo que no debería sorprendernos que se estén detectando amenazas que la utilicen como cebo para infectar dispositivos Android.

Aplicación maliciosa en Google Play

Cunado se trata de alojar una app maliciosa para su posterior descarga los delincuentes pueden optar por varias opciones. La más sencilla consiste en utilizar una web controlada por ellos fuera de las tiendas oficiales, confiando en que los usuarios descargarán la aplicación a sus dispositivos y permitirán su instalación desactivando las medidas de seguridad que hace tiempo Google implementó en Android, precisamente para impedir estas instalaciones.

Esto es algo en lo que varias amenazas siguen confiando, como por ejemplo el troyano bancario FluBot y sus imitadores. Estas familias de malware no tienen ningún problema en solicitar al usuario que permita la instalación de apps desde fuera de los repositorios de confianza, e incluso llegan a proporcionar instrucciones detalladas para conseguirlo.

Otra forma de conseguir su objetivo consiste en alojar una aplicación maliciosa en Google Play, la tienda oficial para la descarga de apps en dispositivos Android. Si se trata de un procedimiento más complicado debido a las revisiones constantes que se realizan para, precisamente, detectar y eliminar posibles amenazas, los delincuentes no dejan de intentarlo porque saben que los usuarios confían en las aplicaciones que allí se encuentran.

Recientemente, un investigador se hacía eco de la existencia de una aplicación maliciosa que usaba la imagen de “El juego de calamar” para llamar la atención de posibles víctimas. Poco después, el especialista en análisis de amenazas dirigidas a Android de ESET, Lukas Stefanko, publicaba más información acerca de esta amenaza y la catalogaba como Joker, uno de los troyanos bancarios que más ha dado que hablar recientemente en dispositivos Android.

Esta aplicación maliciosa utiliza el nombre de la conocida serie de Netflix para conseguir que algún incauto muerda el anzuelo y termine instalándola en su smartphone Android. Los delincuentes han suplantado además el nombre de una empresa desarrolladora de apps especializada en la creación de fondos de pantallas para móviles basadas en series o películas de éxito para tratar de pasar desapercibidos.

En el momento de escribir estas líneas, la aplicación maliciosa ya no se encuentra disponible en Google Play pero sí en otros sitios de descarga de apps. Por ejemplo, en uno de ellos vemos como el instalador aún está disponible para su descarga y, a pesar de que se nombra a Xexo Studio en el nombre del paquete, vemos que como desarrollador aparece otra persona (muy probablemente un pseudónimo).

Dentro de los archivos que componen esta aplicación oservamos algunos ficheros que se usan como icono una vez se encuentra instalada en el terminal móvil. De esta forma, algunos de los usuarios que descarguen e instalen esta app maliciosa seguirán pensando (al menos durante un tiempo) que no hay nada extraño en ella. Esta app descarga y ejecuta la librería nativa, quien a su vez se encarga de descargar y ejecutar el payload que termina infectando el dispositivo con el malware Joker.

Tampoco debemos olvidar que esta es solo una de las muchas aplicaciones que están aprovechando el éxito de la serie de moda y que existen centenares de ellas que intentan captar la atención de los usuarios. Por suerte, al menos en Google Play la gran mayoría de estas apps no suponen un riesgo grave para nuestro smartphone ni los datos que almacenamos en él, aunque algunas resultarán ser engaños o aplicaciones de poca calidad.

Los peligros de Joker

No es la primera vez que el malware Joker utiliza esta estrategia para propagarse y conseguir víctimas ya que se ha observado en numerosas ocasiones como los delincuentes lo camuflan en aplicaciones que luego suben a Google Play. Además, Joker es un malware veterano, ya que se tiene constancia de su existencia desde 2017. Desde entonces, Google ha eliminado de su tienda oficial alrededor de 1.700 aplicaciones que contenían esta amenaza en su interior.

En septiembre de 2019, por ejemplo, se alertaba de la existencia de 24 aplicaciones en Google Play que contenían este malware, algo que también se detectó el septiembre pasado y que se ha vuelto repetir recientemente durante el pasado mes de agosto. Por ese motivo, no es de extrañar que los delincuentes sigan en su empeño de infectar al mayor número de usuarios posible aprovechando cualquier temática que sea interesante.

A diferencia de otras amenazas dirigidas a Android como FluBot, centradas en suplantar aplicaciones como las destinadas a operar con la banca online, Joker se centra en modificar los servicios de facturación telefónica para realizar cargos autorizando operaciones y suscribiendo a servicios de pago sin el consentimiento de la víctima.

Es muy probable que una víctima de Joker no se de cuenta de la infección de su dispositivo hasta que revise los movimientos de su cuenta y detecte cargos extraños. Además, Joker también puede enviar mensajes SMS, acceder a nuestra lista de contactos (lo que también puede ser usado para seguir propagándose) y obtener otra información privada que se encuentre almacenada en el dispositivo

Conclusión

La mejor forma de evitar ser víctima de esta y otras amenazas pasa por no instalar aplicaciones desde fuera de tiendas de confianza e, incluso dentro de estas, evitar las que no cuenten con el suficiente número de instalaciones y se encuentren pobremente valoradas. Además, con una solución de seguridad instalada en nuestro dispositivo seremos capaces de detectar y eliminar el malware antes de que nos cause un prejuicio económico.

Josep Albors

ESET lanza la plataforma ESET HOME para ofrecer a los usuarios un mayor control de sus dispositivos