50萬華為安卓設備感染Joker
Doctor Web研究人員發現華為官方應用商店AppGallery中10個看似無害的APP中含有連接到惡意C2服務器來接收配置信息和其他組件的惡意代碼。目前,有超過50萬臺華為設備下載了感染Joker 惡意軟件的APP。
偽裝成功能APP
研究人員分析發現,惡意APP的功能仍然與宣傳的一致,但是會下載讓用戶訂閱付費移動服務的組件。為了不讓用戶察覺APP的惡意行為,APP會請求對通知的訪問權限,這樣就可以攔截訂閱服務通過SMS發送的確認碼了。
目前,惡意軟件會讓用戶訂閱最多5個服務,但是攻擊者隨時都可以修改這一限制。惡意APP包括虛擬鍵盤、照相機、啟動器、在線消息軟件、涂色程序、游戲等等。
這些惡意APP的開發者多數來自山西快來拍網絡科技有限公司。據統計,目前有超過53.8萬華為用戶下載了這10款惡意APP。
Doctor Web 通知華為后,華為已經從AppGallery 應用商店中移除了這10款含有惡意代碼的應用程序。
Joker
研究人員稱,AppGallery中受感染的APP下載的模塊也出現在Google Play中的應用程序中,屬于Joker 惡意軟件的不同版本。
一旦激活,惡意軟件就會與遠程服務器連接來獲取配置文件,其中含有任務列表,付費服務的網站、模擬用戶交互的JS代碼等。
Joker 惡意軟件的歷史可以追溯到2017年。2019年,Kaspersky研究人員對70款受感染的APP 進行了分析。2020年,谷歌發布報告稱自2017年,谷歌已經移除了超過1700個被Joker 感染的APP。
更多細節參見:https://news.drweb.com/show/?i=14182&lng=en&c=5
本文翻譯自:https://www.bleepingcomputer.com/news/security/joker-malware-infects-over-500-000-huawei-android-devices/如若轉載,請注明原文地址。
