08/04/21
Вирусные аналитики компании «Доктор Веб» выявили первые вредоносные программы в AppGallery ― официальном магазине приложений от производителя Android-устройств Huawei.
Ими оказались опасные многофункциональные трояны Android.Joker, основная функция
которых ― подписка пользователей на платные мобильные сервисы. В общей сложности специалисты обнаружили в AppGallery 10 модификаций троянов этого семейства, их загрузили свыше 538 000 владельцев Android-устройств.
Android.Joker ― относительно старое семейство вредоносных программ, известное c осени 2019 года. Практически каждый день вирусные аналитики компании «Доктор Веб» обнаруживают новые версии и модификации этих троянов. Ранее они встречались, в основном, в официальном каталоге Android-приложений Google Play. Однако злоумышленники, судя по всему, решили расширить масштабы своей деятельности и
обратили внимание на альтернативные каталоги, поддерживаемые крупными игроками
рынка мобильных устройств.
Как и в случае с другими версиями Android.Joker, обнаруженные модификации распространялись под видом безобидных приложений, которые при запуске работали как и ожидали пользователи. Такой прием позволяет вирусописателям дольше оставаться незамеченными и заразить как можно больше Android-устройств. Выявленные трояны
скрывались в виртуальных клавиатурах, приложении-фотокамере, лончере (программе
управления начальным экраном), онлайн-мессенджере, сборнике стикеров, программах-
раскрасках, а также в игре. 8 из них распространял разработчик под именем Shanxi kuailaipai network technology co., ltd, а два других – разработчик под именем 何斌.
Трояны Android.Joker представляют собой многокомпонентные угрозы, способные выполнять различные задачи в зависимости от целей злоумышленников. Распространяемые вирусописателями приложения-приманки, которые устанавливают жертвы, обычно являются базовыми модулями с минимальным набором функций. Они
осуществляют связь между другими троянскими компонентами. При этом основные вредоносные задачи выполняют модули, скачиваемые из интернета. Новые модификации
работают по аналогичной схеме. Поскольку для них было создано несколько вирусных
записей, дальнейшее описание их работы будет основано на модификации с именем
Android.Joker.531.
После старта вредоносных программ пользователи видят полноценные приложения. Однако под прикрытием образа безобидного ПО трояны незаметно для своих жертв соединяются с управляющим сервером, получают необходимые настройки и скачивают
один из вспомогательных компонентов, который затем запускают. Загружаемый компонент отвечает за автоматическую подписку владельцев Android-устройств на дорогостоящие мобильные услуги. Кроме того, приложения-приманки запрашивают доступ к уведомлениям, который понадобится им для перехвата поступающих от премиум-сервисов СМС с кодами подтверждения активации подписок. Эти же приложения задают лимит на количество успешно подключенных премиум-услуг для каждого пользователя. По умолчанию он равен 5, однако при получении конфигурации может быть изменен как в большую, так и меньшую сторону. В перехваченных нашими специалистами конфигурациях, например, это значение доходило до 10.
Скачиваемый троянский модуль детектируется Dr.Web как Android.Joker.242.origin. Этой же записью обнаруживаются и другие аналогичные модули, которые загружают все 10 новых модификаций. Кроме того, такие же модули использовались и в некоторых версиях Android.Joker, распространявшихся, в том числе, через Google Play. Например, в таких приложениях как Shape Your Body Magical Pro, PIX Photo Motion Maker и других.
Модуль Android.Joker.242.origin подключается к удаленному серверу и запрашивает у него конфигурацию. В ней содержится список задач с сайтами премиум-сервисов, скрипты JavaScript, с помощью которых на этих сайтах имитируются действия пользователей, а также другие параметры.
Затем в соответствии с заданным лимитом подписок троян пытается подключить указанные в команде платные сервисы. Чтобы подписка произошла успешно, зараженное устройство должно быть подключено к мобильному интернету. Android.Joker.242.origin
проверяет текущие подключения, и, если он обнаруживает активное Wi-Fi-соединение, пытается отключить его.
Далее для каждой задачи вредоносный модуль создает неотображаемое WebView и последовательно загружает в каждое из них адрес сайта платного сервиса. После этого
троян загружает JavaScript и с его помощью самостоятельно нажимает на кнопки в веб-
форме целевого сайта, автоматически подставляя номер телефона жертвы и пин-код для
подтверждения, перехваченный базовым модулем, например ― Android.Joker.531.
Вместе с тем эти вредоносные приложения не только ищут коды активации, но и передают на удаленный сервер содержимое всех уведомлений о поступающих СМС, что
может привести к утечке конфиденциальной информации. В общей сложности вредоносные приложения загрузили свыше 538 000 пользователей. Все они не только
рискуют потерять деньги, но также могут столкнуться с компрометацией персональных
данных.
