El equipo de seguridad de Google ha compartido públicamente el que sería el fraude de facturación a gran escala que no para da intentar colar su malware en la Play Store.
Este malware se llama 'Bread', más conocido como 'Joker' y que el pasado mes de septiembre fue detectado en 24 aplicaciones acumulado más de 500.000 descargas. Google dice que es un atacante persistente bien organizado que está intentando de todo para evitar todas las protecciones de Google Play Protect.
Así funciona 'Joker'
'Joker' es un malware el cual las aplicaciones maliciosas intentan darnos de alta servicios de suscripción premium para estafarnos. Fue detectado por primera vez en 2017 y usaban primero la estafa de los SMS Premium, pero debido a las protecciones de las nuevas versiones de Android y Play Protect frente al envío de SMS no autorizados se pasaron a la estafa de la facturación WAP.
La facturación WAP es un método de pago que pueden utilizar las operadoras para permitirnos a servicios de suscripción premium con tan solo pulsar en un enlace, y automáticamente da de alta nuestro número de teléfono y a cobrar su importe desde nuestra factura.
Las aplicaciones maliciosas están** utilizando técnicas innovadoras y clásicas para cifrar y ocultar** sus intenciones a la protección de Google Play sus intenciones. Aún así Google Play Protect ha conseguido descubrir el comportamiento común para evitar que lleguen a Google Play la mayoría de ellas, consiguiendo eliminar 1.700 aplicaciones 'Joker' antes de que fueran descargadas por los usuarios.
Google detalla que estas aplicaciones maliciosas lo que hacen primero es lanzar una primera versión limpia, sin malware llena de valoraciones falsas y con unos términos y condiciones insuficientes. Así amplían el número de descargas para que los usuarios piensen que es segura la aplicación.
Más tarde intentan colar una actualización con el malware que te puede suscribir a un servicio premium con solo abrir la aplicación y que luego tienes que ponerte en contacto con tu operadora para que deje de cobrar por ese servicio.
Google informa que desarrolladores del malware 'Joker' son muy activos activos, con tres o más variantes en uso. La compañía ha visto como han enviado hasta 23 aplicaciones diferentes en un solo día. Cuando ven que no consiguen colar una aplicación maliciosa se toman un respiro y vuelven al ataque con otra variante unas semanas después.
Vía | 9to5Google
