A finales de noviembre informábamos en Escudo Digital de que el malware Joker había vuelto a las andadas tras creérsele desaparecido. Se le había encontrado oculto en 14 aplicaciones de Android y menos de dos semanas después volvió a ser localizado en otras dos apps para el sistema operativo de Google, una de teclado y otra de carga de batería que no tardaron en ser eliminadas de Google Play. No obstante, no han sido las últimas aplicaciones en albergar el peligroso malware Joker.
Los investigadores de ciberseguridad de Pradeo lo han detectado en una aplicación llamada "Color Message", que Google también ha descatalogado de su tienda de apps, pero que antes había sido descargada por más de 500.000 usuarios de Android.
La app "Color Message" y el malware Joker
"Color Message" se presentaba como una aplicación que permitía personalizar los mensajes predeterminados. Sin embargo, su verdadera intención era infectar los dispositivos con el malware.
Según explica Pradeo en su blog, Joker está categorizado como Fleeceware porque su actividad principal es simular clics e interceptar SMS para suscribirse a servicios premium de pago sin que los usuarios lo sepan.
"Al usar la menor cantidad de código posible y ocultarlo por completo, Joker genera una huella muy discreta que puede ser difícil de detectar", señala la compañía, que apunta que se ha encontrado escondido en cientos de aplicaciones en los dos últimos años.
La última de ellas es "Color Message" y, de acuerdo al análisis de Pradeo, es capaz de acceder a la lista de contactos de los usuarios y de filtrarla a través de la red. Además, sigue el patrón de Joker al suscribirse automáticamente a servicios de pago sin el conocimiento de los usuarios y, para dificultar su eliminación, también tiene la capacidad de ocultar su icono una vez instalada.
"Los términos y condiciones de la aplicación son muy concisos, están alojados en un blog de una página sin marca y no revelan el alcance de las acciones que la aplicación puede realizar en los dispositivos de los usuarios. Una de las víctimas incluso ha intentado comunicarse con el desarrollador de la aplicación a través de la sección de comentarios de la página legal, otros usuarios se quejan directamente del fraude en la sección de comentarios de la aplicación en la tienda", indica la compañía adjuntando esta fotografía que muestra algunas de esas críticas.
Los investigadores de Pradeo también sugieren que existe evidencia de que la información robada a través de "Color Message" se envía a servidores alojados en Rusia e instan a los usuarios de la app a eliminarla inmediatamente de sus dispositivos para evitar actividades fraudulentas.