Le malware Joker a infecté plus de 500 000 smartphones Huawei

0

Plus de 500 000 utilisateurs de smartphones Huawei ont téléchargé le malware Joker à partir du magasin officiel d’applications Android de la société. Ce malware s’abonne à des services mobiles haut de gamme.

Les chercheurs ont trouvé dix applications apparemment inoffensives dans AppGallery qui contenaient du code pour se connecter à un serveur de commande et de contrôle malveillant pour recevoir des configurations et des composants supplémentaires.

Joker était masqué par des applications fonctionnelles

Un rapport du fabricant d’antivirus Doctor Web note que les applications malveillantes ont conservé leurs fonctionnalités annoncées, mais ont téléchargé des composants qui ont abonné les utilisateurs à des services mobiles haut de gamme.

Pour garder les utilisateurs dans l’obscurité, les applications infectées ont demandé l’accès aux notifications, ce qui leur a permis d’intercepter les codes de confirmation livrés par SMS par le service d’abonnement.

Selon les chercheurs, le malware pourrait souscrire un utilisateur à un maximum de cinq services, bien que le pirate informatique pourrait modifier cette limitation à tout moment.

La liste des applications malveillantes incluait des claviers virtuels, une application de photo, un lanceur, un service de messagerie en ligne, une collection d’autocollants, des programmes de coloriage et un jeu.

joker huawei
source: Doctor Web

La plupart de ces applications provenaient d’un unique développeur (Shanxi Kuailaipai Network Technology Co., Ltd.) et les 2 application restantes venaient d’un autre développeur. Ces dix applications ont été téléchargées par plus de 538 000 utilisateurs de Huawei, selon Doctor Web.

joker huawei
source: Doctor Web

Doctor Web a informé Huawei de ces applications et la société les a retirées de l’AppGallery. Alors que les nouveaux utilisateurs ne peuvent plus les télécharger, ceux qui ont déjà les applications en cours d’exécution sur leurs appareils doivent exécuter un nettoyage manuel. Le tableau ci-dessous énumère le nom de l’application et son paquet:

Nom d’applicationNom de paquet
Super Keyboardcom.nova.superkeyboard
Happy Colourcom.colour.syuhgbvcff
Fun Colorcom.funcolor.toucheffects
New 2021 Keyboardcom.newyear.onekeyboard
Camera MX – Photo Video Cameracom.sdkfj.uhbnji.dsfeff
BeautyPlus Cameracom.beautyplus.excetwa.camera
Color RollingIconcom.hwcolor.jinbao.rollingicon
Funney Meme Emojicom.meme.rouijhhkl
Happy Tappingcom.tap.tap.duedd
All-in-One Messengercom.messenger.sjdoifo

Les chercheurs expliquent que les mêmes modules téléchargés par les applications infectées dans AppGallery étaient également présents dans d’autres applications sur Google Play, utilisées par d’autres versions du logiciel malveillant Joker. La liste complète des indicateurs de compromis est disponible ici.

Une fois actif, le malware communique avec son serveur distant pour obtenir le fichier de configuration, qui contient une liste de tâches, de sites Web pour les services premium et du JavaScript qui imite les interactions de l’utilisateur.

L’histoire du logiciel malveillant Joker remonte à 2017, le malware a constamment trouvé son chemin dans les applications distribuées via Google Play Store. En Octobre 2019, Tatyana Shishkova, analyste des logiciels malveillants Android chez Kaspersky, a tweeté au sujet de plus de 70 applications compromises qui avaient fait leur entrée dans le magasin officiel.

Et les rapports sur les logiciels malveillants dans Google Play ont continué à apparaitre. Début 2020, Google a annoncé que depuis 2017, ils avaient supprimés environ 1 700 applications infectées par Joker.

En Février dernier, Joker était toujours présent dans le magasin et il a continué à contourner les défenses de Google, même en Juillet l’année dernière.

Laisser un commentaire