Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Назад к списку новостей

В каталоге приложений AppGallery впервые обнаружены вредоносные программы

7 апреля 2021

Вирусные аналитики компании «Доктор Веб» выявили первые вредоносные программы в AppGallery ― официальном магазине приложений от производителя Android-устройств Huawei. Ими оказались опасные многофункциональные трояны Android.Joker, основная функция которых ― подписка пользователей на платные мобильные сервисы. В общей сложности наши специалисты обнаружили в AppGallery 10 модификаций троянов этого семейства, их загрузили свыше 538 000 владельцев Android-устройств.

Android.Joker ― относительно старое семейство вредоносных программ, известное с осени 2019 года. Практически каждый день вирусные аналитики компании «Доктор Веб» обнаруживают новые версии и модификации этих троянов. Ранее они встречались, в основном, в официальном каталоге Android-приложений Google Play. Однако злоумышленники, судя по всему, решили расширить масштабы своей деятельности и обратили внимание на альтернативные каталоги, поддерживаемые крупными игроками рынка мобильных устройств.

Как и в случае с другими версиями Android.Joker, обнаруженные модификации распространялись под видом безобидных приложений, которые при запуске работали как и ожидали пользователи. Такой прием позволяет вирусописателям дольше оставаться незамеченными и заразить как можно больше Android-устройств. Выявленные трояны скрывались в виртуальных клавиатурах, приложении-фотокамере, лончере (программе управления начальным экраном), онлайн-мессенджере, сборнике стикеров, программах-раскрасках, а также в игре. 8 из них распространял разработчик под именем Shanxi kuailaipai network technology co., ltd, а два других – разработчик под именем 何斌.

#drweb

#drweb

#drweb

Трояны Android.Joker представляют собой многокомпонентные угрозы, способные выполнять различные задачи в зависимости от целей злоумышленников. Распространяемые вирусописателями приложения-приманки, которые устанавливают жертвы, обычно являются базовыми модулями с минимальным набором функций. Они осуществляют связь между другими троянскими компонентами. При этом основные вредоносные задачи выполняют модули, скачиваемые из интернета. Новые модификации работают по аналогичной схеме. Поскольку для них было создано несколько вирусных записей, дальнейшее описание их работы будет основано на модификации с именем Android.Joker.531.

После старта вредоносных программ пользователи видят полноценные приложения. Однако под прикрытием образа безобидного ПО трояны незаметно для своих жертв соединяются с управляющим сервером, получают необходимые настройки и скачивают один из вспомогательных компонентов, который затем запускают. Загружаемый компонент отвечает за автоматическую подписку владельцев Android-устройств на дорогостоящие мобильные услуги. Кроме того, приложения-приманки запрашивают доступ к уведомлениям, который понадобится им для перехвата поступающих от премиум-сервисов СМС с кодами подтверждения активации подписок. Эти же приложения задают лимит на количество успешно подключенных премиум-услуг для каждого пользователя. По умолчанию он равен 5, однако при получении конфигурации может быть изменен как в большую, так и меньшую сторону. В перехваченных нашими специалистами конфигурациях, например, это значение доходило до 10.

Скачиваемый троянский модуль детектируется Dr.Web как Android.Joker.242.origin. Этой же записью обнаруживаются и другие аналогичные модули, которые загружают все 10 новых модификаций. Кроме того, такие же модули использовались и в некоторых версиях Android.Joker, распространявшихся, в том числе, через Google Play. Например, в таких приложениях как Shape Your Body Magical Pro, PIX Photo Motion Maker и других.

#drweb

Модуль Android.Joker.242.origin подключается к удаленному серверу и запрашивает у него конфигурацию. В ней содержится список задач с сайтами премиум-сервисов, скрипты JavaScript, с помощью которых на этих сайтах имитируются действия пользователей, а также другие параметры.

Затем в соответствии с заданным лимитом подписок троян пытается подключить указанные в команде платные сервисы. Чтобы подписка произошла успешно, зараженное устройство должно быть подключено к мобильному интернету. Android.Joker.242.origin проверяет текущие подключения, и, если он обнаруживает активное Wi-Fi-соединение, пытается отключить его.

Далее для каждой задачи вредоносный модуль создает неотображаемое WebView и последовательно загружает в каждое из них адрес сайта платного сервиса. После этого троян загружает JavaScript и с его помощью самостоятельно нажимает на кнопки в веб-форме целевого сайта, автоматически подставляя номер телефона жертвы и пин-код для подтверждения, перехваченный базовым модулем, например ― Android.Joker.531.

Вместе с тем эти вредоносные приложения не только ищут коды активации, но и передают на удаленный сервер содержимое всех уведомлений о поступающих СМС, что может привести к утечке конфиденциальной информации. В общей сложности вредоносные приложения загрузили свыше 538 000 пользователей. Все они не только рискуют потерять деньги, но также могут столкнуться с компрометацией персональных данных.

«После получения оповещения от компании «Доктор Веб» Huawei скрыла приложения с вредоносными программами в магазине приложений AppGallery для обеспечения безопасности пользователей. Компания проведёт дополнительную проверку с целью минимизации рисков появления подобных программ в будущем», — отметили в пресс-службе AppGallery.

Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют эти и другие известные модификации троянов Android.Joker, поэтому для наших пользователей они опасности не представляют.

Индикаторы компрометации

Подробнее об Android.Joker.531
Подробнее об Android.Joker.242.origin

#Android #вредоносное_ПО #платная_подписка #троянец

Dr.Web Mobile Security

Ваш Android нуждается в защите.

Используйте Dr.Web

  • Первый российский антивирус для Android
  • Более 140 миллионов скачиваний только с Google Play
  • Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии