Hai installato questa app? Occhio al portafoglio

Non si ferma l’azione di Joker, virus che da mesi sta prendendo di mira le app degli smartphone Android. Imprevedibile come il personaggio di fantasia da cui ha ereditato il nome, il malware è tornato a insidiarsi in molti dispositivi con sistema operativo Google anche nelle prime settimane del 2021, prosciugando crediti telefonici con l’attivazione di servizi a pagamento, a insaputa degli utenti, e rubando dati personali.

È uno spyware, una minaccia che si muove sottotraccia nei dispositivi, dando accesso ai cybercriminali a quasi tutte le attività delle vittime: sms, notifiche, chiamate, lista dei contatti e molto altro. I modi per veicolarlo sono molti, tra cui le ormai classiche email di phishing. Ma da quasi un anno i malintenzionati hanno trovato un sistema ancora più efficace per colpire: nasconderlo nelle applicazioni disponibili su Google Play Store.

Le app create ad hoc, all’apparenza innocue, si trasformano in veri e propri cavalli di Troia, eludendo i controlli che il motore di ricerca effettua sui prodotti di sviluppatori terzi. Negli ultimi mesi sono state decine quelle sfruttate. Quasi sempre offrono all’utente nuovi contenuti o funzioni aggiuntive, ad esempio, la scannerizzazione di documenti o la creazione di collage. Uno degli ultimi casi registrati riguarda Keyboard Wallpaper, app che mette a disposizione sfondi per lo smartphone e una tastiera alternativa a quella tradizionale.

Google ne ha rimosse 17 dallo store, ma la minaccia non si è fermata. Per diffondere Joker, infatti, vengono sfruttate tecniche che si rinnovano e mescolano di continuo: la crittografia, per camuffare le stringhe di codice malevoli ai motori di analisi; oppure le false recensioni sul Play Store per rassicurare gli utenti sulla bontà delle app-esca.

L’ultimo metodo sfruttato consiste nel caricamento sullo store di una versione “pulita” dell’app, cioè senza tracce del virus, per poi traghettare il malware tramite gli aggiornamenti successivi. Nello specifico, il codice dannoso viene nascosto in AndroidManifest.xml, file archiviato nel dispositivo che fornisce al sistema operativo tutte le informazioni di base per ogni app scaricata che il sistema deve “leggere”. Nel caso di Joker, a download completato, sul telefono viene installato un sistema di controllo da remoto (chiamato Rogue). Dopo aver forzato l’utente a concedere le autorizzazioni necessarie con avvisi insistenti, i cybercriminali ottengono libertà di movimento.

A questo punto sono molte le possibilità per arrivare ai dati personali della vittima: oltre a sms e notifiche, controlla la posizione attraverso il GPS, riesce a fare screenshot e foto e registra l’audio delle chiamate. Le informazioni carpite possono poi essere vendute ad altri criminali oppure utilizzate per mettere a segno truffe. Il controllo del dispositivo viene sfruttato anche per iscrivere la vittima ad abbonamenti premium a pagamento che prelevano denaro dal credito telefonico.

Come capire se ci si trova di fronte a Joker? Un numero insolitamente alto di autorizzazioni richieste da parte di un’app è uno dei campanelli d’allarme. Sarebbe bene poi controllare le spese collegate alla propria utenza telefonica e alle proprie carte di credito per accertarsi che non siano stati attivati servizi non desiderati e, se possibile, annullarli.

Con o senza prove di attacco, se l’app è sospetta è consigliabile disinstallarla subito.