DoctorWeb研究人员发现,华为官方应用商店AppGallery中的10个看似无害的应用程序包含恶意代码,这些应用程序连接到恶意C2服务器以接收配置信息和其他组件。目前,已有超过50万台华为设备下载了受Joker恶意软件感染的应用程序。伪装成功能性APP研究人员分析发现,该恶意APP的功能仍然与宣传相符,但会下载允许用户订阅付费移动服务的组件。为了不让用户察觉应用程序的恶意行为,应用程序请求访问通知,以便拦截订阅服务通过短信发送的确认码。目前,该恶意软件让用户订阅最多五项服务,但攻击者可以随时修改此限制。恶意应用程序包括虚拟键盘、相机、启动器、在线消息软件、着色程序、游戏等。这些恶意应用程序的开发者大多来自山西快来派网络科技有限公司。据统计,超过53.8万名华为用户下载了这10款恶意应用程序。DoctorWeb通知华为后,华为已将这10款含有恶意代码的应用从AppGallery应用商店下架。据Joker研究人员称,AppGallery中受感染应用程序下载的模块也出现在GooglePlay中的应用程序中,属于不同版本的Joker恶意软件。激活后,恶意软件会连接到远程服务器以获取配置文件,其中包含任务列表、付费服务的网站、模拟用户交互的JS代码等。Joker恶意软件的历史可以追溯到2017年。2019年,卡巴斯基研究人员分析了70个受感染的应用程序。2020年,谷歌发布报告称,自2017年以来,谷歌已经移除了超过1700个受Joker感染的应用程序。更多详情参见:https://news.drweb.com/show/?i=14182&lng=en&c=5本文翻译自:https://www.bleepingcomputer.com/news/security/joker-malware-infects-over-500-000-huawei-android-devices/如有转载请注明原文地址。
