En más de una ocasión nos encontramos con amenazas que afectan a aplicaciones Android en la Play Store. Google nos informa ahora sobre  una nueva amenaza conocida como Joker o Bread, además de la forma en la que funciona. Se trata de un malware que lleva ya un tiempo presente y trata de saltarse todas las protecciones de Play Protect.

Ha sido en su blog donde Google ha querido explicar la manera en la que funciona Joker, para que los usuarios en Android puedan estar informados sobre esta amenaza, que lleva ya meses presente en algunas aplicaciones, de hecho unas 24 aplicaciones fueron eliminadas en septiembre contenían el mismo.

Google explica cómo funciona Joker

Joker es un malware que está presente en aplicaciones maliciosas y tiene como finalidad darnos de alta en servicios de suscripción premium, al menos esto es lo que intenta. Fue en 2017 cuando se detectó por primera vez, haciendo uso de una estafa de SMS Premium por aquel entonces. Las protecciones en nuevas versiones de Android y la llegada de Play Protect consiguieron detenerlo.

Aunque esto no paró a los creadores de este malware, que decidieron modificar algunos aspectos del mismo. Dejaron de intentar suscribir a los usuarios a SMS Premium, y apostaron por pasarse a la estafa de la facturación WAP. Esta facturación es un método de pago usado por las operadoras, que permiten suscribirnos a servicios premium pulsando un enlace, dando nuestro teléfono de alta de forma automática. Dicho importe se añade luego a nuestra factura mensual.

Joker es un malware muy activo, que obliga a Google a estar alerta. La empresa ha confirmado que ha conseguido descubrir el comportamiento común de la mayoría de estas aplicaciones. De hecho, un total de 1.700 aplicaciones que contenían este malware fueron eliminadas de la Play Store antes de que fueran descargadas por los usuarios. No se descarga que haya más aplicaciones que lo contengan en la tienda.

Según ha dicho Google, estas aplicaciones maliciosas lanzan primero una versión limpia libre de malware, con valoraciones falsas. Esto permite que la cantidad de descargas se vaya a incrementar, porque los usuarios piensan que es una app segura. Una vez crece ese número de descargas, se lanza una falsa actualización de la aplicación, que es cuando se introduce el malware. Es entonces cuando se puede suscribir a un usuario a algún servicio premium sin que el usuario lo sepa. Para terminar dicha suscripción el usuario tiene que ponerse en contacto con su operador.

Los desarrolladores de Joker son especialmente activos, ya que en un mismo día han enviado hasta 23 aplicaciones diferentes. Si ven que ninguna de ellas es aceptada, se toman un tiempo de descanso, una semana normalmente, para luego intentarlo de nuevo. Por ahora este problema no ha llegado a su fin, pero Google pide estar atentos a los usuarios sobre esta amenaza.