La seguridad en Android es un tema habitual de preocupación para los usuarios y expertos en ciberseguridad. Aunque Google ha implementado múltiples medidas de seguridad para proteger a sus usuarios, los ciberdelincuentes sigue encontrando formas de eludir estas barreras, y uno de los actores más conocidos en este escenario es el malware Joker. A pesar de los esfuerzos de seguridad, Joker ha regresado con fuerza, logrando infiltrarse en más de 200 aplicaciones de la tienda oficial Google Play y afectando a millones de usuarios en todo el mundo.
Joker es una familia de malware que se centra en realizar actividades maliciosas en segundo plano sin que el usuario lo note. Detectado por primera vez en 2017, este software malicioso ha estado afectando a usuarios de Android al suscribirlos a servicios premium de SMS sin su conocimiento o consentimiento, lo que genera cargos no deseados en sus facturas telefónicas. Pero Joker no se limita a esto; también tiene la capacidad de robar datos personales, como los contactos y mensajes SMS, lo que lo convierte en una amenaza seria para la privacidad y seguridad de los usuarios.
¿Cómo funciona Joker?
El modo de operación de Joker es particularmente sofisticado. Se disfraza como una aplicación legítima y funcional que los usuarios pueden descargar desde Google Play, lo que le permite pasar desapercibido para los mecanismos de seguridad de la tienda. En muchos casos, estas aplicaciones parecen inofensivas y ofrecen servicios que van desde herramientas de productividad hasta aplicaciones de personalización. Sin embargo, una vez que la aplicación es instalada, Joker comienza a actuar en segundo plano, accediendo a mensajes de texto, contactos y otra información sensible.
Una de las características más peligrosas de Joker es su capacidad para suscribir a los usuarios a servicios de SMS premium. Esto significa que los usuarios pueden comenzar a recibir cargos en sus facturas telefónicas sin haber autorizado ninguna transacción. Además, Joker puede interceptar mensajes de verificación enviados por los proveedores de estos servicios, completando el proceso sin que la víctima se dé cuenta.
El informe de Zscaler y la magnitud del problema
Un informe reciente de la empresa de ciberseguridad Zscaler del que informa BleepingComputer ha revelado que, entre junio de 2023 y abril de 2024, más de 200 aplicaciones infectadas con Joker estuvieron disponibles en Google Play. Estas aplicaciones acumularon aproximadamente 8 millones de descargas, afectando a un número masivo de usuarios. Aunque Google eliminó estas aplicaciones de su tienda, el daño ya estaba hecho, y muchas personas en todo el mundo podrían haber sido víctimas de este malware sin siquiera saberlo.
Según el informe, Joker representó el 38,2% de las aplicaciones maliciosas detectadas en ese período. El adware, otro tipo de malware que muestra anuncios no deseados en dispositivos infectados, fue el segundo más común, presente en el 35,9% de las aplicaciones analizadas. También se identificaron otras amenazas significativas como el troyano Facestealer (14,7%), que roba credenciales de redes sociales, y el malware Coper (3,7%), diseñado para interceptar mensajes y registrar las teclas pulsadas.
Categorías de aplicaciones más afectadas
El informe de Zscaler también destaca las categorías de aplicaciones más utilizadas para distribuir malware como Joker. La categoría más afectada es la de herramientas, que representa el 47,9% de las aplicaciones maliciosas. Estas aplicaciones suelen presentarse como utilidades útiles, como linternas, escáneres de códigos QR o gestores de archivos. Sin embargo, una vez instaladas, comienzan a realizar actividades maliciosas en segundo plano.
Otras categorías afectadas incluyen las aplicaciones de personalización (15,2%), como temas y fondos de pantalla, las aplicaciones de fotografía (11,1%), que prometen filtros y herramientas de edición, y las aplicaciones de productividad (6,9%). También se identificaron amenazas en aplicaciones de entretenimiento, comunicación, y salud y fitness, lo que demuestra que ninguna categoría está exenta del riesgo de contener malware.