•  ИНФОРМАЦИОННАЯ  БЕЗОПАСНОСТЬ  ГОСУДАРСТВЕННОГО  СЕКТОРА  ЭКОНОМИКИ,  БИЗНЕСА,  ЧАСТНОЙ  ЖИЗНИ  ГРАЖДАН  РОССИЙСКОЙ  ФЕДЕРАЦИИ
«Доктор Веб»: В каталоге приложений AppGallery впервые обнаружены вредоносные программы

«Доктор Веб»: В каталоге приложений AppGallery впервые обнаружены вредоносные программы

Вирусные аналитики компании «Доктор Веб» выявили первые вредоносные программы в AppGallery ― официальном магазине приложений от производителя Android-устройств Huawei. Ими оказались опасные многофункциональные трояны Android.Joker, основная функция которых ― подписка пользователей на платные мобильные сервисы. В общей сложности наши специалисты обнаружили в AppGallery 10 модификаций троянов этого семейства, их загрузили свыше 538 000 владельцев Android-устройств.

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА..

logo.jpg   РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ:
Dr.Web Enterprise Security Suite - Dr.Web Desktop Security Suite
Защита рабочих станций, клиентов терминальных серверов, клиентов виртуальных серверов и клиентов встроенных систем. Dr.Web для WindowsDr.Web для Linux. Dr.Web для Mac OS X. Консольные сканеры Dr.Web для Windows, MS DOS, OS/2. Подробнее>>
Dr.Web Enterprise Security Suite - Dr.Web Server Security Suite
Антивирусное средство, предназначенное для защиты файловых серверов типа Samba, базирующихся на таких операционных системах, как: Linux, OpenBSD, Solaris (Intel),FreeBSD, MCBC, Novell NetWare и Windows. Подробнее>>
Dr.Web Enterprise Security Suite - Dr.Web Mail Security Suite
Антивирусная программа, позволяющая осуществлять фильтрацию SMTP-трафика, проходящего обработку на почтовом сервере. В составе продукты - Dr.Web® для почтовых серверов и шлюзов Unix Dr.Web® для MS Exchange Dr.Web® для IBM Lotus Domino для Windows Dr.Web® для IBM Lotus Domino для Linux Dr.Web® для почтовых серверов Kerio для Linux Dr.Web® для почтовых серверов Kerio для Mac Подробнее>>

Решения Dr.Web для защиты бизнеса. Купить Dr.Web Enterprise Security Suite. Датасистем. Переход в онлайн магазин Dr.Web (ПО "Доктор Веб")


Android.Joker ― относительно старое семейство вредоносных программ, известное с осени 2019 года. Практически каждый день вирусные аналитики компании «Доктор Веб» обнаруживают новые версии и модификации этих троянов. Ранее они встречались, в основном, в официальном каталоге Android-приложений Google Play. Однако злоумышленники, судя по всему, решили расширить масштабы своей деятельности и обратили внимание на альтернативные каталоги, поддерживаемые крупными игроками рынка мобильных устройств.
Как и в случае с другими версиями Android.Joker, обнаруженные модификации распространялись под видом безобидных приложений, которые при запуске работали как и ожидали пользователи. Такой прием позволяет вирусописателям дольше оставаться незамеченными и заразить как можно больше Android-устройств. Выявленные трояны скрывались в виртуальных клавиатурах, приложении-фотокамере, лончере (программе управления начальным экраном), онлайн-мессенджере, сборнике стикеров, программах-раскрасках, а также в игре. 8 из них распространял разработчик под именем Shanxi kuailaipai network technology co., ltd, а два других – разработчик под именем 何斌.
Android.Joker ― относительно старое семейство вредоносных программ, известное с осени 2019 года. Практически каждый день вирусные аналитики компании «Доктор Веб» обнаруживают новые версии и модификации этих троянов. Ранее они встречались, в основном, в официальном каталоге Android-приложений Google Play. Однако злоумышленники, судя по всему, решили расширить масштабы своей деятельности и обратили внимание на альтернативные каталоги, поддерживаемые крупными игроками рынка мобильных устройств.Как и в случае с другими версиями Android.Joker, обнаруженные модификации распространялись под видом безобидных приложений, которые при запуске работали как и ожидали пользователи. Такой прием позволяет вирусописателям дольше оставаться незамеченными и заразить как можно больше Android-устройств. Выявленные трояны скрывались в виртуальных клавиатурах, приложении-фотокамере, лончере (программе управления начальным экраном), онлайн-мессенджере, сборнике стикеров, программах-раскрасках, а также в игре. 8 из них распространял разработчик под именем Shanxi kuailaipai network technology co., ltd, а два других – разработчик под именем 何斌.
Трояны Android.Joker представляют собой многокомпонентные угрозы, способные выполнять различные задачи в зависимости от целей злоумышленников. Распространяемые вирусописателями приложения-приманки, которые устанавливают жертвы, обычно являются базовыми модулями с минимальным набором функций
Они осуществляют связь между другими троянскими компонентами. При этом основные вредоносные задачи выполняют модули, скачиваемые из интернета. Новые модификации работают по аналогичной схеме. Поскольку для них было создано несколько вирусных записей, дальнейшее описание их работы будет основано на модификации с именем Android.Joker.531.
Трояны Android.Joker представляют собой многокомпонентные угрозы, способные выполнять различные задачи в зависимости от целей злоумышленников. Распространяемые вирусописателями приложения-приманки, которые устанавливают жертвы, обычно являются базовыми модулями с минимальным набором функций. Они осуществляют связь между другими троянскими компонентами. При этом основные вредоносные задачи выполняют модули, скачиваемые из интернета. Новые модификации работают по аналогичной схеме. Поскольку для них было создано несколько вирусных записей, дальнейшее описание их работы будет основано на модификации с именем Android.Joker.531.
После старта вредоносных программ пользователи видят полноценные приложения. Однако под прикрытием образа безобидного ПО трояны незаметно для своих жертв соединяются с управляющим сервером, получают необходимые настройки и скачивают один из вспомогательных компонентов, который затем запускают. Загружаемый компонент отвечает за автоматическую подписку владельцев Android-устройств на дорогостоящие мобильные услуги. Кроме того, приложения-приманки запрашивают доступ к уведомлениям, который понадобится им для перехвата поступающих от премиум-сервисов СМС с кодами подтверждения активации подписок. Эти же приложения задают лимит на количество успешно подключенных премиум-услуг для каждого пользователя. По умолчанию он равен 5, однако при получении конфигурации может быть изменен как в большую, так и меньшую сторону. В перехваченных нашими специалистами конфигурациях, например, это значение доходило до 10.
Скачиваемый троянский модуль детектируется Dr.Web как Android.Joker.242.origin. Этой же записью обнаруживаются и другие аналогичные модули, которые загружают все 10 новых модификаций. Кроме того, такие же модули использовались и в некоторых версиях Android.Joker, распространявшихся, в том числе, через Google Play. Например, в таких приложениях как Shape Your Body Magical Pro, PIX Photo Motion Maker и других.

Модуль Android.Joker.242.origin подключается к удаленному серверу и запрашивает у него конфигурацию. В ней содержится список задач с сайтами премиум-сервисов, скрипты JavaScript, с помощью которых на этих сайтах имитируются действия пользователей, а также другие параметры.

Модуль Android.Joker.242.origin подключается к удаленному серверу и запрашивает у него конфигурацию. В ней содержится список задач с сайтами премиум-сервисов, скрипты JavaScript, с помощью которых на этих сайтах имитируются действия пользователей, а также другие параметры.
Затем в соответствии с заданным лимитом подписок троян пытается подключить указанные в команде платные сервисы. Чтобы подписка произошла успешно, зараженное устройство должно быть подключено к мобильному интернету. Android.Joker.242.origin проверяет текущие подключения, и, если он обнаруживает активное Wi-Fi-соединение, пытается отключить его.
Далее для каждой задачи вредоносный модуль создает неотображаемое WebView и последовательно загружает в каждое из них адрес сайта платного сервиса. После этого троян загружает JavaScript и с его помощью самостоятельно нажимает на кнопки в веб-форме целевого сайта, автоматически подставляя номер телефона жертвы и пин-код для подтверждения, перехваченный базовым модулем, например ― Android.Joker.531.
Вместе с тем эти вредоносные приложения не только ищут коды активации, но и передают на удаленный сервер содержимое всех уведомлений о поступающих СМС, что может привести к утечке конфиденциальной информации. В общей сложности вредоносные приложения загрузили свыше 538 000 пользователей. Все они не только рискуют потерять деньги, но также могут столкнуться с компрометацией персональных данных.

«После получения оповещения от компании «Доктор Веб» Huawei скрыла приложения с вредоносными программами в магазине приложений AppGallery для обеспечения безопасности пользователей. Компания проведёт дополнительную проверку с целью минимизации рисков появления подобных программ в будущем», — отметили в пресс-службе AppGallery.

Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют эти и другие известные модификации троянов Android.Joker, поэтому для наших пользователей они опасности не представляют.
     
Материал подготовлен: «Доктор Веб»

Сертифицированные ФСТЭК России программные продукты Dr.Web. Купить Dr.Web Enterprise Security Suite. Датасистем. Переход в онлайн магазин Dr.Web (ПО "Доктор Веб")

logo.jpg   ССЫЛКА ПО ТЕМЕ: Каталог программного обеспечения Dr.Web для бизнеса 
Переход в он-лайн магазин Датасиcтем - официального Поставщика Dr.Web в Российской Федерации. Перейти на сайт Поставщика>>

"ДАТАСИСТЕМ" ВАШ НАДЕЖНЫЙ ПОСТАВЩИК. С 2001 ГОДА НА РЫНКЕ ИТ. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, СЕРВЕРЫ И ПК, СЕТЕВАЯ ИНФРАСТРУКТУРА, СЕРВИС И ТЕХНИЧЕСКАЯ ПОДДЕРЖКА.



Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Популярное

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.