„Жокерът“ настъпва: опасният вирус завладява магазина за приложения 

Той удря по AppGallery и вече е заразил 500 000 устройства на Huawei

Мобилният троянец Joker, който тероризираше потребителите от 2016 г., и преди това се беше насочил да атакува изключително посетителите на магазина за приложения на Google Play. Сега изследователите на информационната сигурност установиха, че неговата „география“ се е разширила и вирусът удря по магазина AppGallery и успя да зарази близо 500 000 устройства на Huawei. С какво вирусът Joker е опасен и как той се добра до AppStore?

Над половин милион потребители са инсталирали опасния вирус Joker на своите смартфони Huawei, съобщава Bleeping Computer, позовавайки се на проучване на Doctor Web. Експертите по информационна сигурност са открили десет на пръв поглед безобидни приложения в официалния магазин на доставчика AppGallery, които съдържат злонамерен код, с който се заразяват електронни устройства.

Joker се използва от хакерите през последните няколко години и неговото присъствие е в приложения, които се разпространяват чрез официалните сайтове за дистрибуция, и той е постоянна заплаха.

След като вирусът влезе в устройството, той свързва потребителя с премиум абонаментни програми, принуждавайки ги да плащат огромни суми за услугите, за които не са се абонирали.

Приложенията, които са изтеглени от потребителите, ще поискат разрешение за достъп до известията, което ще позволи на вируса Joker да прихване всички SMS-известия за взетите абонаменти и да остане неоткрит от жертвата.

„Особеността на вируса Joker е в самия механизъм за заразяване на устройствата, - потвърждава Евгений Суханов, директор на отдела за информационна сигурност в Oberon. - В известните приложения е вградена „задна врата“ под формата на няколко реда код, който започва да изтегля „тялото“ на самия вирус няколко часа или дни след инсталирането на програмата. След като изтеглянето приключи, вирусният софтуер получава достъп до операционната система на мобилното устройство. Това му позволява да изпращате SMS-съобщения, да ги скрива, да абонира потребителя за платени услуги и да краде данните".

Doctor Web изчисли десет услуги, които бяха разпространени в галерията с приложения и съдържаха вирус - това са Super Keyboard, Happy Color, Fun Color, New 2021 Keyboard, Camera MX - Photo Video Camera, BeautyPlus Camera, Color RollingIcon, Funney Meme Emoji, Happy Tapping и All-in-One Messenger. Общо 538 000 потребители са ги изтеглили. По време на писането на този материал всичките те са премахнати от магазина за приложения на Huawei.

Зловредният софтуер Joker се разпространява в голямо разнообразие от категориите на приложенията, обяснява Якуб Вавра, изследовател на заплахите в Avast.

„Вирусът Joker може да се замаскира като виртуална клавиатура, приложение за камера, стартер (системно приложение, с което можете да промените външния вид на работния плот, размера и стила на иконите), онлайн месинджър, колекция от стикери, програма за оцветяване, игра. Приложението ще изглежда на потребителя като абсолютно нормално и легитимно, тъй като работи като нормално приложение, както би трябвало. Злонамереният код се активира по-късно и потребителят може да не свърже веднага наложения от вируса Joker премиум абонамент с приложението“, каза Вавра.

До този момент вирусът атакуваше основно потребителите на магазина на Google Play, но сега той премина към друга голяма платформа, значително разширявайки обхвата си. След санкциите на САЩ Huawei загуби възможността да използва магазина на Google за своите устройства, и го замести със своя фирмен AppGallery.

AppGallery има аудитория от 530 млн. активни потребители, включително и 18 млн. руснаци, което представлява значителна заплаха за киберсигурността и в края на краищата коварния вирус се крие в „легални“ приложения, за да прикрие своето присъствие.

Google масово премахна приложенията с вируса Joker от своя магазин за приложения през октомври 2020 г., но по това време много потребители вече бяха инсталирали програмите, казва Данийл Чернов, директор на центъра Solar appScreener в Rostelecom-Solar. Според експерта обаче силовото му премахване от магазина за приложения не е решило напълно проблема.

„Новите потребители спряха да виждат опасните програми в каталога, но тези, които вече са ги изтеглили, все още могат да плащат за абонаменти, за които не са се абонирали, и да не знаят за това“, каза Чернов.

Експертът оцени и перспективите на вируса Joker да влезе в друг най-голям магазин за приложения - App Store на компанията Apple.
„Малко вероятно е приложенията с вируса Joker да се появят в App Store, тъй като Apple има по-високо ниво на проверка на програмата. Теоретично тази възможност не може да бъде изключена, тъй като хакерите могат да се опитат да скрият зловредния софтуер и да намерят начин да заобиколят проверката, но това ще отнеме много усилия. Също така хакерите ще трябва да трансформират механиката на атаката, тъй като няма да е възможно да се приложи метода със скриване на SMS за транзакция защото платформата на iOS е защитена от това“, смята експертът.

(Превод за „Труд“ - Павел Павлов)

Коментари

Регистрирай се, за да коментираш

Още от Технологии