Oltre 500.000 utenti Huawei sono stati infettati dal malware Joker dopo aver scaricato l’app dallo store ufficiale del produttore di dispositivi Android Huawei. Gli analisti di virus di Doctor Web hanno scoperto che 10 modifiche di questi trojan sono stati introdotte su AppGallery.
Il malware Joker è un codice dannoso camuffato come un’app di sistema che consente agli aggressori di eseguire un’ampia gamma di operazioni dannose – come disabilitare il servizio Google Play Protect, installare app dannose, generare recensioni false e mostrare annunci – ed è in in grado di rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo e di iscrivere le vittime ad abbonamenti a servizi premium.
“Si sono rivelati pericolosi trojan Android.Joker che funzionano principalmente per abbonare gli utenti a servizi mobili premium”, si legge nel post pubblicato dal Dr. Web.
Le modifiche scoperte sono state diffuse sotto le spoglie di app innocue che, una volta avviate, funzionavano come gli utenti si sarebbero aspettati. Questa tecnica permette agli aggressori di rimanere al di sotto del radar per periodi di tempo prolungati e di infettare il maggior numero possibile di dispositivi Android. I trojan agivano come tastiere virtuali, un’app per fotocamera, un programma di avvio, un messenger online, una raccolta di adesivi, programmi di colorazione e un gioco.
Una volta avviato il malware, gli utenti interagiscono con applicazioni a tutti gli effetti. Tuttavia, dietro la maschera di software innocuo, i trojan si connettono al server C&C, ricevono la configurazione necessaria e scaricano uno dei componenti aggiuntivi, che viene quindi avviato. Il componente scaricato è responsabile dell’abbonamento automatico degli utenti di dispositivi Android a servizi mobili premium. Inoltre, le app esca richiedono l’accesso alle notifiche di cui avranno bisogno in seguito per intercettare gli SMS in arrivo dai servizi premium con codici di conferma dell’abbonamento.
Queste applicazioni dannose non solo cercano i codici di attivazione, ma trasmettono anche il contenuto di tutte le notifiche sugli SMS in arrivo al server C&C, il che può portare a fughe di dati. Oltre 538.000 utenti hanno scaricato queste app dannose.
“Dopo aver ricevuto un avviso da Doctor Web, Huawei ha nascosto i trojan nell’AppGallery Store per proteggere gli utenti. L’azienda condurrà un’ulteriore indagine per ridurre al minimo i rischi che tali app appaiano in futuro”, ha osservato il servizio stampa di AppGallery.
https://news.drweb.com/show/?i=14182&lng=en
