Google Play Protect ha eliminado 1.700 apps en el Play Store de Android por estar infectadas con la familia de malware Joker, una amenaza que la compañía sigue desde 2017 y que se dedica a defraudar a través de SMS y de pagos por WAP. España es uno de los países afectados y tu dispositivo puede estar entre los infectados.
Joker, también conocido como Bread, fue identificada por Google a principios de 2017 y desde entonces, los sistemas de defensa de la tienda digital han eliminado 1.700 apps únicas con el programa malicioso Bread antes de que fueran descargadas por los usuarios. En septiembre del año pasado, Google también retiró 24 aplicaciones infectadas que habían acumulado más de 500.000 descargas.
Familia de malware
Todas las apps que incluían esta familia de malware estaban pensadas para realizar fraude a través de SMS en su origen, pero posteriormente empezaron a atacar los pagos por WAP (protocolo de aplicaciones inalámbricas). Dos técnicas que se aprovechan de la integración de los operadores de telefonía con vendedores, para facilitar el pago de servicios con la factura del móvil. Ambos solicitan la verificación del dispositivo, pero no del usuario. Es decir, el operador puede determinar que la petición se origina en el dispositivo del usuario, pero no requiere ninguna interacción del usuario que no pueda ser automatizada. De esta forma, los creadores de este malware usan clics inyectados, analizadores HTML personalizados y receptores de SMS para automatizar el proceso de pago sin requerir ninguna interacción por parte del usuario. En resumidas cuentas: Joker es capaz de simular un clic en portales de suscripción premium para robarnos el dinero a través de cobros en las facturas de dichos sitios web.
A medida que Play Store ha introducido nuevas políticas y Google Play Protect ha ampliado las defensas, este tipo de Malware ha tenido que buscar nuevos vacíos para actuar. En algún momento han llegado a utilizar todas las técnicas de ocultación que existen para no ser detectadas. Muchas de las muestras encontradas parecen estar diseñadas específicamente para intentar ingresare en Play Store sin ser detectadas.
Apps infectadas
Las 24 app iniciales en las que se detectó por primera vez esta familia de malware son: Advocate Wallpaper, Age Face, Altar Message, Antivirus Security – Security Scan, Beach Camera, Board picture editing, Certain Wallpaper, Climate SMS, Collate Face Scanner, Cute Camera, Dazzle Wallpaper, Declare Message, Display Camera, Great VPN, Humour Camera, Ignite Clean, Leaf Face Scanner, Mini Camera, Print Plant scan, Rapid Face Scanner, Reward Clean, Ruddy SMS, Soby Camera y Spark Wallpaper.
Según Google, los ciberdelincuentes actúan de la siguiente manera: primero lanzan una versión de las apps, sin malware, a la Play Store. Después escriben falsas reseñas positivas para que la gente la descargue y, una vez generan confianza, lanzan una actualización que ya contiene el malware. Los desarrolladores del malware son muy activos y tiene tres o más variantes en uso. Google ha llegado a detectar que han enviado hasta 23 aplicaciones diferentes en un solo día. Es importante prestar atención a la facturación de nuestros operadores telefónicos, así como instalar solo aplicaciones de confianza de la Play Store para minimizar el riesgo.