Noto anche come Bread, Joker è uno dei malware per Android più prolifici e attivi. Una minaccia hi-tech che mira a colpire gli utenti laddove fa più male, cioè nel portafogli, ed è in evoluzione costante nel tentativo di bypassare le tante protezioni implementate da Google per il download delle app dallo store Play.
Nelle sue multiformi varianti, Joker è in circolazione dal 2017 ed era in origine programmato per commettere frodi via SMS. Oggi Joker è un trojan spyware camuffato all’interno di app apparentemente legittime, che nelle versioni più recenti mira a sottrarre denaro all’utente (tramite il credito residuo) spingendolo ad abbonarsi a servizi a pagamento.
Nel corso degli anni Joker ha sfruttato ogni sorta di trucco e tecnica di evasione per restare sempre attivo e presente sullo store Play. L’ultima scappatoia in ordine di tempo è stata scoperta da dai ricercatori di Check Point, e prevede il camuffamento del payload malevolo di Joker all’interno di un file AndroidManifest.xml apparentemente legittimo ancorché codificato.
AndroidManifest è un componente essenziale per il processo di accettazione di ogni singola app Android sullo store Play, e a quanto pare il trucco adottato da Joker risulta sufficiente a bypassare le protezioni approntate da Google nel processo di analisi automatica delle app distribuite su Play. Come evidenziato da Check Point, le misure di sicurezza dello store ufficiale di Android non sono sufficienti a mettere gli utenti completamente al sicuro dalle minacce.