超过50万名华为用户从该公司的官方安卓商店下载了感染Joker恶意软件的应用,订阅了高级移动服务。研究人员在AppGallery中发现了10个看似无害的应用,这些应用含有连接到恶意命令和控制服务器以接收配置和附加组件的代码。
反病毒厂商Doctor Web的一份报告指出,这些恶意应用保留了其宣传的功能,但下载的组件可以让用户订阅高级移动服务。为了让用户无法察觉,受感染的应用程序要求访问通知,这使得他们能够拦截订阅服务通过短信传递的确认代码。
据研究人员介绍,该恶意软件最多可以为一个用户订阅五项服务,不过威胁行为人可以随时修改这一限制。恶意应用程序的清单包括虚拟键盘、相机应用程序、启动器、在线信使、贴纸收集、着色程序和游戏。
其中大部分来自一个开发商,两个来自不同的开发商。这十款应用被超过53.8万名华为用户下载。这些应用告知华为,该公司从AppGallery中删除了这些应用。虽然新用户不能再下载它们,但已经在设备上运行这些应用的用户需要进行手动清理。
研究人员表示,AppGallery中被感染的应用程序下载的相同模块也存在于Google Play上的其他应用程序中,被其他版本的Joker恶意软件使用。完整的被感染应用列表可在这里获得。一旦激活,恶意软件就会与其远程服务器通信,以获取配置文件,其中包含任务列表、高级服务的网站、模拟用户交互的JavaScript。
Joker恶意软件的历史最早可以追溯到2017年,并不断在通过Google Play商店分发的应用中找到它的踪迹。2019年10月,卡巴斯基的安卓恶意软件分析师Tatyana Shishkova在推特上发布了70多个被入侵的应用,这些应用已经进入了官方商店。
而关于Google Play中恶意软件的报道也不断出现。2020年初,谷歌宣布,自2017年以来,已经删除了约1700个感染了Joker的应用。去年2月,Joker仍然存在于商店中,即使在去年7月,它也继续从谷歌的防御系统中溜走。