По сообщению компании «Доктор Веб», ее вирусные аналитики выявили первые вредоносные программы в AppGallery, официальном магазине приложений от производителя Android-устройств Huawei. Ими оказались опасные многофункциональные троянцы Android.Joker, основная функция которых – подписка пользователей на платные мобильные сервисы. В общей сложности в AppGallery обнаружено 10 модификаций троянцев этого семейства.

Android.Joker – относительно старое семейство вредоносных программ, известное с осени 2019 г.; практически каждый день вирусные аналитики «Доктор Веб» обнаруживают новые версии и модификации этих троянцев. Ранее они встречались в основном в официальном каталоге Android-приложений Google Play. Однако злоумышленники, судя по всему, решили расширить масштабы своей деятельности и обратили внимание на альтернативные каталоги, поддерживаемые крупными игроками рынка мобильных устройств.

Как и в случае с другими версиями Android.Joker, обнаруженные модификации распространялись под видом безобидных приложений, которые при запуске работали так, как ожидали пользователи. Этот прием позволяет им дольше оставаться незамеченными и заразить как можно больше Android-устройств. Выявленные троянцы скрывались в виртуальных клавиатурах, приложении-фотокамере, лончере (программе управления начальным экраном), онлайн-мессенджере, сборнике стикеров, программах-раскрасках, а также в игре. Восемь из них распространял разработчик под именем Shanxi kuailaipai network technology co., ltd, а два других – разработчик под именем 何斌.

Трояны Android.Joker представляют собой многокомпонентные угрозы, способные выполнять различные задачи. Распространяемые приложения-приманки обычно представляют собой базовые модули с минимальным набором функций. Они осуществляют связь между другими троянскими компонентами, а основные вредоносные задачи выполняют модули, скачиваемые из интернета. Новые модификации работают по аналогичной схеме. Поскольку для них было создано несколько вирусных записей, специалисты «Доктор Веб» описывают их работу на основе модификации с именем Android.Joker.531.

После старта вредоносных программ пользователи видят полноценные приложения. Однако под прикрытием образа безобидного ПО троянцы соединяются с управляющим сервером, получают необходимые настройки и скачивают один из вспомогательных компонентов, который затем запускают. Загружаемый компонент отвечает за автоматическую подписку владельцев Android-устройств на дорогостоящие мобильные услуги. Кроме того, приложения-приманки запрашивают доступ к уведомлениям, который понадобится им для перехвата поступающих от премиум-сервисов СМС с кодами подтверждения активации подписок. Эти же приложения задают лимит на количество успешно подключенных премиум-услуг для каждого пользователя. По умолчанию он равен 5, однако при получении конфигурации может быть изменен как в большую, так и меньшую сторону. В перехваченных специалистами «Доктор Веб» конфигурациях это значение доходило до 10.

Скачиваемый троянский модуль детектируется Dr.Web как Android.Joker.242.origin. Этой же записью обнаруживаются и другие аналогичные модули, которые загружают все 10 новых модификаций. Кроме того, такие же модули использовались и в некоторых версиях Android.Joker, распространявшихся, в том числе, через Google Play. Например, в таких приложениях как Shape Your Body Magical Pro, PIX Photo Motion Maker и других.

Модуль Android.Joker.242.origin подключается к удаленному серверу и запрашивает у него конфигурацию. В ней содержится список задач с сайтами премиум-сервисов, скрипты JavaScript, с помощью которых на этих сайтах имитируются действия пользователей, а также другие параметры. Затем в соответствии с заданным лимитом подписок троянец пытается подключить указанные в команде платные сервисы. Чтобы подписка прошла успешно, зараженное устройство должно быть подключено к мобильному интернету. Android.Joker.242.origin проверяет текущие подключения, и если обнаруживает активное Wi-Fi-соединение, пытается отключить его.

Далее для каждой задачи вредоносный модуль создает неотображаемое WebView и последовательно загружает в каждое из них адрес сайта платного сервиса. После этого троянец загружает JavaScript и с его помощью самостоятельно нажимает на кнопки в веб-форме целевого сайта, автоматически подставляя номер телефона жертвы и пин-код для подтверждения, перехваченный базовым модулем, например, Android.Joker.531.

Вредоносные приложения не только ищут коды активации, но и передают на удаленный сервер содержимое всех уведомлений о поступающих СМС, что может привести к утечке конфиденциальной информации.

В общей сложности вредоносные приложения загрузили свыше 538 тыс. пользователей. После получения оповещения от компании «Доктор Веб» Huawei скрыла приложения с вредоносными программами в магазине приложений AppGallery для обеспечения безопасности пользователей и проведет дополнительную проверку с целью минимизации рисков появления подобных программ в будущем.