• TWEAK
• Software

Joker-malware rammer over 500.000 Huawei enheder

Mere end 500.000 Huawei-brugere har downloadet fra virksomhedens officielle Android-Store inficeret med Joker-malware.

Forskere fandt ti tilsyneladende harmløse apps i AppGallery, der indeholdt kode til at oprette forbindelse til ondsindet command- og kontrolserver for at modtage konfigurationer og yderligere komponenter.

Rapporten fra antivirusproducenten Doctor Web bemærker, at de ondsindede apps bevarede deres annoncerede funktionalitet, men downloadede i samme omgang komponenter, der koblede de ramte brugere på abonnentstjenester, der så igen påfører yderligere omkostninger for den enkelte.

Tilmed kunne de inficerede apps bede om adgang til notifikationer, som tillod aktørerne bag malwaren at opfange bekræftelseskoder leveret via SMS af abonnementstjenesten – abonnementstjenesten, som de i første omgang slet ikke havde tilmeldt sig.

Ifølge Doctor Web kunne malware abonnere en bruger på maksimalt fem tjenester, selvom trusselsaktøren, ifølge Doctor Web - til enhver tid kunne ændre denne begrænsning.

Listen over inficeret applikationer omfattede virtuelle tastaturer, en kameraapp, en launcher, en online messenger app, en sticker-samling, farvelægningsprogrammer og et spil.

Source: Doctor Web

De fleste af de inficeret apps kom fra samme app-udvikler (Shanxi Kuailaipai Network Technology Co., Ltd.) og to fra en anden.

Source: Doctor Web

Doctor Web informerede Huawei om disse apps, og virksomheden fjernede dem efterfølgende fra AppGallery. Mens nye brugere ikke længere kan downloade dem, skal de, der allerede har de inficerede apps installeret på deres enheder, køre en manuel oprydning.

Tabellen nedenfor viser navnet på applikationen og dens pakke:

Source: Doctor Web

Læste du også: Hvad er et Man-in-the-Middle angreb?

Forskerne siger, at de samme moduler, der blev downloadet af de inficerede apps i AppGallery, også var til stede i andre apps på Google Play, der blev brugt af andre versioner af Joker-malwaren. Den komplette liste over kompromisindikatorer er tilgængelig her.

Når denne er aktiv, kommunikerer malware til sin eksterne server for at hente konfigurationsfilen, som indeholder en liste over opgaver, websteder til abonnementstjenester, JavaScript, der efterligner brugerinteraktion.

Joker-malwarens historie går så langt tilbage som 2017 og fandt i første omgang sin vej i apps distribueret via Google Play butik. I oktober 2019 tweetede Tatyana Shishkova, Android-malware-analytiker hos Kaspersky, om mere end 70 kompromitterede apps, der havde fundet vej til den officielle Play butik.

Og rapporterne om malware-problemer i Google Play blev ved med at tippe ind. I begyndelsen af 2020 meddelte Google, at de siden 2017 havde fjernet omkring 1.700 apps inficeret med Joker-malwaren.

Målet om at være et skridt eller to foran trusselsaktørerne synes lang og træg.

 

Source & Image credit:

Doctor Web, cinemablend