Срочно. 500 тыс. человек загрузили троян из магазина Huawei

>500 тыс. человек загрузили троян из магазина Huawei. Фото: Pixabay

Исследователи обнаружили в AppGallery десять, казалось бы, безобидных приложений, содержащих код для подключения к вредоносному серверу управления и контроля для получения конфигураций и дополнительных компонентов, пишет Bleeping Computer.

В отчёте производителя антивирусов «Доктор Веб» отмечается, что вредоносные приложения сохранили заявленную функциональность, но загрузили компоненты, которые подписывали пользователей на премиальные мобильные сервисы.

Чтобы держать пользователей в неведении, заражённые приложения запрашивали доступ к уведомлениям, что позволяло им перехватывать коды подтверждения, доставляемые по SMS службой подписки.

По словам исследователей, вредоносная программа могла подписать пользователя максимум на пять сервисов, хотя злоумышленник мог изменить это ограничение в любое время.

В список вредоносных приложений вошли виртуальные клавиатуры, приложение камеры, лаунчер, онлайн-мессенджер, коллекция стикеров, программы для раскрашивания и игра.

«Доктор Веб» проинформировал Huawei об этих приложениях, и компания удалила их из AppGallery. Исследователи говорят, что те же модули, загруженные заражёнными приложениями в AppGallery, также присутствовали в других приложениях в Google Play, используемых другими версиями вредоносного ПО Joker. Полный список индикаторов компрометации доступен здесь.

После активации вредоносная программа связывается со своим удалённым сервером, чтобы получить файл конфигурации, который содержит список задач, веб-сайты для премиум-услуг и JavaScript, имитирующий взаимодействие с пользователем.

История вредоносного ПО Joker началась ещё в 2017 году и постоянно находила своё применение в приложениях, распространяемых через магазин Google Play. В октябре 2019 года Татьяна Шишкова , аналитик вредоносного ПО для Android в Kaspersky, написала в Твиттере о более чем 70 скомпрометированных приложениях, которые попали в официальный магазин.