Περισσότεροι από 500.000 χρήστες της Huawei «μολύνθηκαν» από το Joker malware, αφότου κατέβασαν «μολυσμένες» εφαρμογές από το επίσημο Android store της εταιρείας. Το Joker malware είναι ένας κακόβουλος κώδικας που εμφανίζεται ως εφαρμογή συστήματος και επιτρέπει στους επιτιθέμενους να εκτελούν ένα ευρύ φάσμα κακόβουλων λειτουργιών, συμπεριλαμβανομένης της απενεργοποίησης της υπηρεσίας Google Play Protect, της εγκατάστασης κακόβουλων εφαρμογών, της δημιουργίας ψεύτικων κριτικών και της εμφάνισης διαφημίσεων. Αυτό το malware μπορεί επίσης να κλέψει μηνύματα SMS, λίστες επαφών και πληροφορίες συσκευής, καθώς και να εγγράψει τα θύματα σε συνδρομές premium υπηρεσιών.
Διαβάστε επίσης: Android malware εμφανίζεται σαν Netflix app και παραβιάζει WhatsApp συνομιλίες
Ειδικοί από την “Doctor Web”, εταιρεία παροχής antivirus προστασίας, ανακάλυψαν δέκα εφαρμογές στο AppGallery που περιείχαν τον κακόβουλο κώδικα. Μία ανάρτηση που δημοσιεύτηκε από την Doctor Web αναφέρει τα ακόλουθα: «Οι αναλυτές ιών της Doctor Web αποκάλυψαν το πρώτο malware στο AppGallery ― το επίσημο app store από τον κατασκευαστή Android συσκευών “Huawei”. Αποδείχθηκαν επικίνδυνα Android. Joker trojans που λειτουργούν κυρίως για να εγγράψουν χρήστες σε premium υπηρεσίες κινητών τηλεφώνων. Συνολικά, οι ειδικοί μας ανακάλυψαν ότι 10 τροποποιήσεις αυτών των trojans έχουν βρεθεί στο AppGallery, με περισσότερους από 538.000 χρήστες να τις έχουν εγκαταστήσει.»
Για να κρατήσουν τους χρήστες «στο σκοτάδι» οι μολυσμένες εφαρμογές ζητούσαν πρόσβαση σε ειδοποιήσεις, οι οποίες τους επέτρεπαν να υποκλέψουν κωδικούς επιβεβαίωσης που παραδίδονταν μέσω SMS από τη συνδρομητική υπηρεσία.
Δείτε ακόμη: Νέο Android malware εμφανίζεται σαν ενημέρωση συστήματος!
Σύμφωνα με τους ερευνητές, το malware θα μπορούσε να εγγράψει έναν χρήστη το πολύ σε πέντε υπηρεσίες, αν και οι κακόβουλοι παράγοντες θα μπορούσαν να τροποποιήσουν αυτόν τον αριθμό ανά πάσα στιγμή.
Η λίστα των κακόβουλων εφαρμογών περιλάμβανε virtual keyboards, μια εφαρμογή κάμερας, ένα launcher, ένα online messenger, μια συλλογή αυτοκόλλητων, προγράμματα χρωματισμού και ένα παιχνίδι.
Οι περισσότερες από αυτές προέρχονταν από έναν προγραμματιστή (Shanxi Kuailaipai Network Technology Co., Ltd.). Η Doctor Web ενημέρωσε την Huawei για αυτές τις εφαρμογές και η εταιρεία τις κατάργησε από το AppGallery. Ενώ οι νέοι χρήστες δεν μπορούν πλέον να τις κατεβάσουν, αυτοί που έχουν ήδη τις εφαρμογές να εκτελούνται στις συσκευές τους, πρέπει να εκτελέσουν μη αυτόματη εκκαθάριση.
Σύμφωνα με τους ερευνητές, τα ίδια modules που έγιναν download από τις μολυσμένες εφαρμογές στο AppGallery, υπήρχαν και σε άλλες εφαρμογές στο Google Play, που χρησιμοποιήθηκαν από άλλες εκδόσεις του Joker malware.
Πρόταση: Huawei: Αφαιρεί τις Nike και Adidas από το κατάστημα εφαρμογών της
Μόλις ενεργοποιηθεί, το malware “επικοινωνεί” με τον απομακρυσμένο server του για να λάβει το αρχείο διαμόρφωσης, το οποίο περιέχει μια λίστα tasks, websites για premium υπηρεσίες και JavaScript που “μιμείται” την αλληλεπίδραση των χρηστών.
Η ιστορία του Joker malware ξεκίνησε το 2017, με αυτό να βρίσκεται συνεχώς σε εφαρμογές που διανέμονται μέσω του Google Play store. Τον Οκτώβριο του 2019, η Tatyana Shishkova, αναλύτρια Android malware στην Kaspersky, έγραψε tweet για περισσότερες από 70 εφαρμογές από το επίσημο store, που είχαν το malware. Και συνεχίστηκαν οι αναφορές για το malware στο Google Play. Στις αρχές του 2020, η Google ανακοίνωσε ότι από το 2017, είχε αφαιρέσει περίπου 1.700 εφαρμογές που είχαν μολυνθεί από το Joker. Τον περασμένο Φεβρουάριο, το Joker υπήρχε ακόμα στο store και συνέχισε να παρακάμπτει την άμυνα της Google, ακόμη και τον Ιούλιο του περασμένου έτους.
Πηγή πληροφοριών: bleepingcomputer.com
