Юридическим
лицам
Оставить заявку

8 (495) 232-52-16 для Москвы

8 800 200-22-33 для бесплатных звонков из России

? Появились
вопросы?
Позвонить с сайта
? Хотите
скидку?
Получить скидку
Онлайн-консультант

Главная > Блог > В каталоге приложений AppGallery впервые обнаружены вредоносные программы

В каталоге приложений AppGallery впервые обнаружены вредоносные программы

дата: 07.04.2021 / 22:45 Все новости
В каталоге приложений AppGallery впервые обнаружены вредоносные программы

В каталоге приложений AppGallery впервые обнаружены вредоносные программы. Вирусные аналитики компании «Доктор Веб» выявили первые вредоносные программы в AppGallery ― официальном магазине приложений от производителя Android-устройств Huawei. Ими оказались опасные многофункциональные трояны Android.Joker, основная функция которых ― подписка пользователей на платные мобильные сервисы.

В общей сложности специалисты обнаружили в AppGallery 10 модификаций троянов этого семейства, их загрузили свыше 538 000 владельцев Android-устройств.

Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют эти и другие известные модификации троянов Android.Joker.

Android.Joker ― относительно старое семейство вредоносных программ, известное с осени 2019 года. Практически каждый день вирусные аналитики компании «Доктор Веб» обнаруживают новые версии и модификации этих троянов. Ранее они встречались, в основном, в официальном каталоге Android-приложений Google Play. Однако злоумышленники, судя по всему, решили расширить масштабы своей деятельности и обратили внимание на альтернативные каталоги, поддерживаемые крупными игроками рынка мобильных устройств.

Как и в случае с другими версиями Android.Joker, обнаруженные модификации распространялись под видом безобидных приложений, которые при запуске работали как и ожидали пользователи. Такой прием позволяет вирусописателям дольше оставаться незамеченными и заразить как можно больше Android-устройств. Выявленные трояны скрывались в виртуальных клавиатурах, приложении-фотокамере, лончере (программе управления начальным экраном), онлайн-мессенджере, сборнике стикеров, программах-раскрасках, а также в игре. 8 из них распространял разработчик под именем Shanxi kuailaipai network technology co., ltd, а два других – разработчик под именем 何斌.

order

Трояны Android.Joker представляют собой многокомпонентные угрозы, способные выполнять различные задачи в зависимости от целей злоумышленников. Распространяемые вирусописателями приложения-приманки, которые устанавливают жертвы, обычно являются базовыми модулями с минимальным набором функций. Они осуществляют связь между другими троянскими компонентами. При этом основные вредоносные задачи выполняют модули, скачиваемые из интернета. Новые модификации работают по аналогичной схеме. Поскольку для них было создано несколько вирусных записей, дальнейшее описание их работы будет основано на модификации с именем Android.Joker.531.

После старта вредоносных программ пользователи видят полноценные приложения. Однако под прикрытием образа безобидного ПО трояны незаметно для своих жертв соединяются с управляющим сервером, получают необходимые настройки и скачивают один из вспомогательных компонентов, который затем запускают. Загружаемый компонент отвечает за автоматическую подписку владельцев Android-устройств на дорогостоящие мобильные услуги. Кроме того, приложения-приманки запрашивают доступ к уведомлениям, который понадобится им для перехвата поступающих от премиум-сервисов СМС с кодами подтверждения активации подписок. Эти же приложения задают лимит на количество успешно подключенных премиум-услуг для каждого пользователя. По умолчанию он равен 5, однако при получении конфигурации может быть изменен как в большую, так и меньшую сторону. 

Скачиваемый троянский модуль детектируется Dr.Web как Android.Joker.242.origin. Этой же записью обнаруживаются и другие аналогичные модули, которые загружают все 10 новых модификаций. Кроме того, такие же модули использовались и в некоторых версиях Android.Joker, распространявшихся, в том числе, через Google Play. Например, в таких приложениях как Shape Your Body Magical Pro, PIX Photo Motion Maker и других.

order

Модуль Android.Joker.242.origin подключается к удаленному серверу и запрашивает у него конфигурацию. В ней содержится список задач с сайтами премиум-сервисов, скрипты JavaScript, с помощью которых на этих сайтах имитируются действия пользователей, а также другие параметры.

Затем в соответствии с заданным лимитом подписок троян пытается подключить указанные в команде платные сервисы. Чтобы подписка произошла успешно, зараженное устройство должно быть подключено к мобильному интернету. Android.Joker.242.origin проверяет текущие подключения, и, если он обнаруживает активное Wi-Fi-соединение, пытается отключить его.

Далее для каждой задачи вредоносный модуль создает неотображаемое WebView и последовательно загружает в каждое из них адрес сайта платного сервиса. После этого троян загружает JavaScript и с его помощью самостоятельно нажимает на кнопки в веб-форме целевого сайта, автоматически подставляя номер телефона жертвы и пин-код для подтверждения, перехваченный базовым модулем, например ― Android.Joker.531.

Вместе с тем эти вредоносные приложения не только ищут коды активации, но и передают на удаленный сервер содержимое всех уведомлений о поступающих СМС, что может привести к утечке конфиденциальной информации. В общей сложности вредоносные приложения загрузили свыше 538 000 пользователей. Все они не только рискуют потерять деньги, но также могут столкнуться с компрометацией персональных данных.

«После получения оповещения от компании «Доктор Веб» Huawei скрыла приложения с вредоносными программами в магазине приложений AppGallery для обеспечения безопасности пользователей. Компания проведёт дополнительную проверку с целью минимизации рисков появления подобных программ в будущем», — отметили в пресс-службе AppGallery.

Используйте антивирусы для защиты ваших устройств.

order

Dr.Web Security Space 12. Защита для Android-устройств – в подарок!

Статья подготовлена по материалам компании “Доктор Веб

Каталог
Разработчики
Акции

Не пропустите наши самые вкусные предложения!

Спасибо! Вам отправлен e-mail с подтверждением подписки. Спасибо. Вы успешно подписаны. Пожалуйста, введите e-mail Неверный e-mail Вы уже подписаны на данную рассылку
Вы используете устаревшую версию браузера .
Наш сайт построен на передовых и современных технологиях, поэтому при использовании устаревших версий браузера некоторые элементы могут отображаться некорректно.
Мы рекомендуем вам обновить браузер до последней версии.