Περισσότεροι από 500.000 χρήστες Huawei έχουν πραγματοποιήσει λήψη από τις επίσημες εφαρμογές καταστήματος Android της εταιρείας και έχουν μολυνθεί από το κακόβουλο λογισμικό Joker που σας γράφει σε premium υπηρεσίες κινητής τηλεφωνίας.
Οι ερευνητές βρήκαν δέκα φαινομενικά ακίνδυνες εφαρμογές στο AppGallery που περιείχαν κώδικα για σύνδεση σε κακόβουλο διακομιστή εντολών και ελέγχου για τη λήψη διαμορφώσεων και πρόσθετων στοιχείων.
Καλυμμένο από λειτουργικές εφαρμογές
Μια αναφορά από τον κατασκευαστή προστασίας από ιούς, Doctor Web, σημειώνει ότι οι κακόβουλες εφαρμογές διατήρησαν τη διαφημιζόμενη λειτουργικότητά τους, αλλά κατέβασαν στοιχεία που προσυπέγραψαν τους χρήστες σε premium κινητές υπηρεσίες.
Για να κρατήσουν τους χρήστες στο σκοτάδι, οι μολυσμένες εφαρμογές ζήτησαν πρόσβαση σε ειδοποιήσεις, οι οποίες τους επέτρεψαν να υποκλέψουν κωδικούς επιβεβαίωσης που παραδόθηκαν μέσω SMS από τη συνδρομητική υπηρεσία.
Σύμφωνα με τους ερευνητές, το κακόβουλο λογισμικό θα μπορούσε να εγγράψει έναν χρήστη σε έως και πέντε υπηρεσίες, αν και ο παράγοντας απειλής θα μπορούσε να τροποποιήσει αυτόν τον περιορισμό ανά πάσα στιγμή.
Η λίστα των κακόβουλων εφαρμογών περιελάμβανε εικονικά πληκτρολόγια, μια εφαρμογή κάμερας, ένα πρόγραμμα εκκίνησης, ένα διαδικτυακό αγγελιοφόρο, μια συλλογή αυτοκόλλητων, προγράμματα χρωματισμού και ένα παιχνίδι.
Τα περισσότερα από αυτά τα προγράμματα προέρχονταν από έναν προγραμματιστή (Shanxi Kuailaipai Network Technology Co., Ltd.) και δύο από διαφορετικό. Αυτές οι δέκα εφαρμογές κατεβάστηκαν από περισσότερους από 538.000 χρήστες Huawei, λέει ο Doctor Web.
Το Doctor Web ενημέρωσε την Huawei για αυτές τις εφαρμογές και η εταιρεία τις κατάργησε από το AppGallery. Ενώ οι νέοι χρήστες δεν μπορούν πλέον να τους κατεβάσουν, αυτοί που έχουν ήδη τις εφαρμογές που εκτελούνται στις συσκευές τους πρέπει να εκτελέσουν μη αυτόματη εκκαθάριση. Ο παρακάτω πίνακας παραθέτει το όνομα ονόματος της εφαρμογής και το πακέτο της:
| Όνομα εφαρμογής | Όνομα πακέτου |
| Super Keyboard | com.nova.superkeyboard |
| Happy Colour | com.colour.syuhgbvcff |
| Fun Color | com.funcolor.toucheffects |
| New 2021 Keyboard | com.newyear.onekeyboard |
| Camera MX – Photo Video Camera | com.sdkfj.uhbnji.dsfeff |
| BeautyPlus Camera | com.beautyplus.excetwa.camera |
| Color RollingIcon | com.hwcolor.jinbao.rollingicon |
| Funney Meme Emoji | com.meme.rouijhhkl |
| Happy Tapping | com.tap.tap.duedd |
| All-in-One Messenger | com.messenger.sjdoifo |
Οι ερευνητές λένε ότι οι ίδιες ενότητες που κατεβάστηκαν από τις μολυσμένες εφαρμογές στο AppGallery υπήρχαν και σε άλλες εφαρμογές στο Google Play, που χρησιμοποιήθηκαν από άλλες εκδόσεις του κακόβουλου λογισμικού Joker. Ο πλήρης κατάλογος των δεικτών συμβιβασμού είναι διαθέσιμος εδώ.
Μόλις ενεργοποιηθεί, το κακόβουλο λογισμικό επικοινωνεί στον απομακρυσμένο διακομιστή του για να πάρει το αρχείο διαμόρφωσης, το οποίο περιέχει μια λίστα εργασιών, ιστότοπους για υπηρεσίες premium, JavaScript που μιμείται την αλληλεπίδραση των χρηστών.
Η ιστορία του κακόβουλου λογισμικού του Joker ξεκινά από το 2017 και συνεχώς το βρίσκουμε σε εφαρμογές που διανέμονται μέσω του Google Play store. Τον Οκτώβριο του 2019, η Tatyana Shishkova, αναλυτής κακόβουλου λογισμικού Android στο Kaspersky, έγραψε σε tweet ότι βρήκε περισσότερες από 70 συμβιβασμένες εφαρμογές στο επίσημο κατάστημα.
Και συνεχίστηκαν οι αναφορές για το κακόβουλο λογισμικό στο Google Play. Στις αρχές του 2020, η Google ανακοίνωσε ότι από το 2017, είχε αφαιρέσει περίπου 1.700 εφαρμογές που έχουν μολυνθεί με τον Joker.
Τον περασμένο Φεβρουάριο, ο Τζόκερ ήταν ακόμη παρών στο κατάστημα και συνέχισε να παρακάμπτει την άμυνα της Google ακόμη και τον Ιούλιο του περασμένου έτους.
[signoff]
