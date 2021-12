Si chiama Joker il malware ospitato da un’app di Google Play molto popolare che ha infettato 500 mila dispositivi Android prima della sua rimozione nella giornata di ieri. Il malware inviava di nascosto i contatti in rubrica a un server controllato da un aggressore in Russia, oltre a iscrivere gli utenti a costosi servizi in abbonamento.

L’app che l’ospitava – Color Message – prometteva di migliorare la messaggistica di testo attraverso l’integrazione di più emoji e il blocco dello spam (tra le altre cose). Secondo i ricercatori, tuttavia, Color Message conteneva una famiglia di malware nota come Joker e avrebbe infettato mezzo milione di device, cifra pari al numero dei download visibile nella pagina di Google Play.

Questa le parole del team di Pradeo Security: “La nostra analisi dell’applicazione Color Message tramite il motore Pradeo Security mostra che accede all’elenco dei contatti degli utenti e lo esfiltra attraverso la rete”, si legge in un post sul blog dell’azienda. “Allo stesso tempo – prosegue –, l’applicazione si abbona automaticamente a servizi a pagamento indesiderati all’insaputa degli utenti. Per rendere difficile la rimozione, l’applicazione ha la capacità di nascondere la sua icona una volta installata”.

Joker rientra in una categoria di malware nota come Fleeceware, in grado di intercettare i messaggi di testo e simulare i clic allo scopo di iscrivere gli utenti a servizi premium che non hanno mai avuto intenzione di acquistare. Joker, inoltre, è un malware particolarmente insidioso, dal momento che le sue impronte nel codice sono piccolissime e pressoché invisibili.

Negli ultimi anni, il malware è stato scovato in centinaia di app scaricate da milioni di persone. Una buona regola per difendersi è quella di scaricare solo app che forniscono un vero vantaggio e – laddove possibile – preferire quelle realizzate da sviluppatori noti e affidabili.