Более 500000 пользователей Huawei загрузили из официального магазина Android приложения компании, зараженные вредоносной программой Joker, которая подписывается на мобильные сервисы премиум-класса.

Исследователи обнаружили в AppGallery десять, казалось бы, безобидных приложений, содержащих код для подключения к вредоносному серверу управления и контроля для получения конфигураций и дополнительных компонентов.

В отчете компании «Doctor Web» отмечается, что вредоносные приложения сохранили заявленную функциональность, но загрузили компоненты, которые подписывали пользователей на премиальные мобильные сервисы. Чтобы держать пользователей в неведении, зараженные приложения запрашивали доступ к уведомлениям, что позволяло им перехватывать коды подтверждения, доставляемые по SMS службой подписки. По словам исследователей, вредоносная программа могла подписать пользователя максимум на пять сервисов, хотя злоумышленник мог изменить это ограничение в любое время.

В список вредоносных приложений вошли виртуальные клавиатуры, приложение для камеры, лаунчер, онлайн-мессенджер, коллекция стикеров, разукрашка и игра.

Большинство из них поступило от одного разработчика (Shanxi Kuailaipai Network Technology Co., Ltd.), а два - от другого. По данным «Doctor Web», эти десять приложений скачали более 538 000 пользователей Huawei.

«Doctor Web» проинформировал Huawei об этих приложениях, и компания удалила их из AppGallery. Хотя новые пользователи больше не могут загружать их, тем, у кого уже есть приложения, работающие на их устройствах, необходимо выполнить ручную очистку. В таблице ниже указано имя, имя приложения и его пакета:

Исследователи говорят, что те же модули, загруженные зараженными приложениями в AppGallery, также присутствовали в других приложениях в Google Play, используемых другими версиями вредоносного ПО Joker.

После активации вредоносная программа связывается со своим удаленным сервером, чтобы получить файл конфигурации, который содержит список задач, веб-сайты для премиум-услуг и JavaScript, имитирующий взаимодействие с пользователем.

История вредоносного ПО Joker началась еще в 2017 году и постоянно находила свое применение в приложениях, распространяемых через магазин Google Play. В октябре 2019 года Татьяна Шишкова, аналитик вредоносного ПО для Android в Kaspersky, написала в Твиттере о более чем 70 скомпрометированных приложениях, которые попали в официальный магазин. А сообщения о вредоносном ПО в Google Play продолжали поступать. В начале 2020 года Google объявил, что с 2017 года он удалил около 1700 приложений, зараженных Joker. В феврале прошлого года Joker все еще присутствовал в магазине, и продолжал ускользать от защиты Google даже в июле прошлого года.