Более 500 000 пользователей Huawei загрузили из официального магазина Android приложения компании, зараженные вредоносной программой Joker, которая подписывается на мобильные сервисы премиум-класса.
Исследователи обнаружили в AppGallery десять, казалось бы, безобидных приложений, содержащих код для подключения к вредоносному серверу управления и контроля для получения конфигураций и дополнительных компонентов.
Маскируется функциональными приложениями
В отчете производителя антивирусов «Доктор Веб» отмечается, что вредоносные приложения сохранили заявленную функциональность, но загрузили компоненты, которые подписывали пользователей на премиальные мобильные сервисы.
Чтобы держать пользователей в неведении, зараженные приложения запрашивали доступ к уведомлениям, что позволяло им перехватывать коды подтверждения, доставляемые по SMS службой подписки.
По словам исследователей, вредоносная программа могла подписать пользователя максимум на пять сервисов, хотя злоумышленник мог изменить это ограничение в любое время.
В список вредоносных приложений вошли виртуальные клавиатуры, приложение камеры, лаунчер, онлайн-мессенджер, коллекция стикеров, программы для раскрашивания и игра.
Большинство из них поступило от одного разработчика (Shanxi Kuailaipai Network Technology Co., Ltd.), а два – от другого. По данным «Доктор Веб», эти десять приложений скачали более 538 000 пользователей Huawei.
«Доктор Веб» проинформировал Huawei об этих приложениях, и компания удалила их из AppGallery. Хотя новые пользователи больше не могут загружать их, тем, у кого уже есть приложения, работающие на их устройствах, необходимо выполнить ручную очистку. В таблице ниже указано имя, имя приложения и его пакета.
Исследователи говорят, что те же модули, загруженные зараженными приложениями в AppGallery, также присутствовали в других приложениях в Google Play, используемых другими версиями вредоносного ПО Joker. Полный список индикаторов компрометации доступен здесь .
После активации вредоносная программа связывается со своим удаленным сервером, чтобы получить файл конфигурации, который содержит список задач, веб-сайты для премиум-услуг и JavaScript, имитирующий взаимодействие с пользователем.
История вредоносных программ Joker началась еще в 2017 году, и они постоянно находили свое применение в приложениях, распространяемых через магазин Google Play. В октябре 2019 года Татьяна Шишкова , аналитик вредоносного ПО для Android в Kaspersky, написала в Твиттере о более чем 70 скомпрометированных приложениях, которые попали в официальный магазин.
И сообщения о вредоносном ПО в Google Play продолжали поступать. В начале 2020 года Google объявил, что с 2017 года он удалил около 1700 приложений, зараженных Joker.
В феврале прошлого года Джокер все еще присутствовал в магазине, и он продолжал ускользать от защиты Google даже в июле прошлого года.
По материалам – https://bdroid.ru/