U Huaweijevoj prodavnici Android aplikacija prvi put pronađen malver

Mobilni telefoni, 12.04.2021, 10:00 AM

Više od 500.000 korisnika Huawei Android uređaja je iz službene prodavnice kompanije preuzelo aplikacije zaražene malverom Joker koji pretplaćuje žrtve na premijum mobilne usluge.

Istraživači kompanije Doctor Web su u AppGallery pronašli deset naizgled bezazlenih aplikacija koje sadrže kod za povezivanje sa C&C serverom sa koga malver preuzima konfiguracioni fajl sa listom zadataka i dodatnu komponentu koja je odgovorna za automatsko pretplaćivanje korisnike na premijum mobilne usluge. Joker je prvi malver koji je pronađen u službenoj prodavnici aplikacija kompanije Huawei.

Slično ostalim aplikacijama u kojima je pronađen Joker, i ove aplikacije, naizgled bezazlene, radile su ono što su korisnici očekivali od njih. Ova taktika omogućava napadačima da duže ostanu ispod dometa radara i da zaraze što više Android uređaja. Sve verzije malvera Android.Joker bile su "višekomponentne pretnje" koje izvršavaju različite zadatke u zavisnosti od potreba napadača. Aplikacije koje instaliraju žrtve su uglavnom osnovni trojanski moduli sa minimalnom funkcionalnošću čiji je primarni cilj da pokrenu druge module preuzete sa interneta.

Zaražene aplikacije koje su korisnici preuzimali iz AppGallery tražile su pristup obaveštenjima, što im je omogućilo da presreću kodove za potvrdu pretplate koji su isporučivani putem SMS poruka. Prema rečima istraživača, malver je mogao da pretplati korisnika na najviše pet premijum usluga, mada bi oni koji su odgovorni za infekciju Huawei uređaja mogli da izmene ovo ograničenje u bilo kom trenutku. Malver ne samo da presreće SMS poruke sa aktivacionim kodovima, već i sva obaveštenja o dolaznim porukama koje zatim šalje na C&C server, što može dovesti do curenja podataka.

Na spisku zlonamernih aplikacija su virtuelne tastature, aplikacije za kameru, mesindžer, kolekcija nalepnica, aplikacije za bojenje i igra.

Većina njih je od jednog programera (Shanxi Kuailaipai Network Technology Co., Ltd.), a dve od drugog. Ovih deset aplikacija preuzelo je više od 538.000 korisnika Huawei uređaja.

Doctor Web je obavestio Huawei o ovim aplikacijama i kompanija ih je uklonila iz AppGallery. Iako ih korisnici više ne mogu preuzeti, oni koji već imaju instalirane zaražene aplikacije na svojim uređajima moraju ih sami ukloniti.

Reč je o sledećim aplikacijama:

Super Keyboard

Happy Colour

Fun Color

New 2021 Keyboard

Camera MX - Photo Video Camera

BeautyPlus Camera

Color RollingIcon

Funney Meme Emoji

Happy Tapping

All-in-One Messenger

Kada je aktivan, malver komunicira sa svojim serverom da bi dobio konfiguracioni fajl sa listom zadataka, adresama veb sajtova na kojima se pretplaćuje na premijum usluge i JavaScriptom koji oponaša ponašanje korisnika na pomenutim veb sajtovima.

Malver Joker pojavio se 2017. godine, i od tada je stalno pronalažen u aplikacijama distribuiranim preko Google Play prodavnice. Početkom 2020. godine Google je objavio da je od 2017. uklonio oko 1.700 aplikacija zaraženih Jokerom. I posle toga su u Play prodavnici pronađene aplikacije zaražene malverom Joker. Prošlog jula, malver je pronađen u 11 aplikacija u Googleovoj Play prodavnici, a dva meseca kasnije u još 17 aplikacija.

Očigledno je da su distributeri malvera sada odlučili da prošire svoje aktivnosti i na "alternativne kataloge aplikacija koje podržavaju glavni igrači na tržištu mobilnih uređaja", kažu istraživači.