«Джокер» наступает: опасный вирус захватил магазин приложений

«Джокер» наступает: опасный вирус захватил магазин приложений

Прослушать новость

Остановить прослушивание

«Джокер» наступает: опасный вирус захватил магазин приложений

Depositphotos/DC Films, коллаж

Мобильный троян Joker, терроризирующий пользователей с 2016 года, ранее выбирал целью своих атак исключительно посетителей магазина приложений Google Play. Как удалось выяснить ИБ-исследователям, теперь его «география» расширилась — вирус попал в магазин AppGallery и успел заразить по меньшей мере 500 тыс. устройств Huawei. Чем опасен Joker и когда он доберется до AppStore — в материале «Газеты.Ru».

Rambler-почта
Mail.ru
Yandex
Gmail
Отправить письмо

Скопировать ссылку

«Джокер» наступает: опасный вирус захватил магазин приложений

Более полумиллиона пользователей установили на свои смартфоны Huawei опасный вирус Joker, сообщает портал Bleeping Computer со ссылкой на исследование компании «Доктор Веб». ИБ-эксперты обнаружили десять с виду безобидных приложений в официальном магазине вендора AppGallery, в которых содержался вредоносный код, заражающий электронные устройства.

Злоумышленники используют Joker на протяжении последних нескольких лет — его присутствие в приложениях, которые распространяются при помощи официальных площадок дистрибуции, представляет собой постоянную угрозу.

Как только вирус попадает в устройство, он подключает пользователя к программам премиум-подписок, заставляя его платить огромные суммы за сервисы, на которые он не подписывался. 

Приложения, которые были скачаны пользователям, запросят разрешения на доступ к уведомлениям, что позволит Joker перехватывать все SMS-оповещения о подключенных подписках и оставаться незамеченным жертвой.

«Особенность вируса Joker в самом механизме инфицирования устройства, — подтверждает Евгений Суханов, директор департамента информационной безопасности компании Oberon. — В известные приложения встраивается «бэкдор» в виде нескольких строчек кода, который запускает скачивание «тела» вируса через несколько часов или дней после установки программы. После того, как скачивание завершится, вирусное ПО получает доступ к операционной системе мобильного устройства. Это позволяет отправлять SMS-сообщения, скрывать их, подписывать пользователя на платные услуги, красть данные».

«Доктор Веб» вычислил десять сервисов, которые распространялись в App Gallery и содержали в себе вирус — это Super Keyboard, Happy Colour, Fun Color, New 2021 Keyboard, Camera MX — Photo Video Camera, BeautyPlus Camera, Color RollingIcon, Funney Meme Emoji, Happy Tapping и All-in-One Messenger. В общей сложности их скачали 538 тыс. пользователей. На момент написания материалы все они удалены из магазина приложений Huawei.

Вредоносная программа Joker распространятся через самые разные категории приложений, поясняет Якуб Вавра, исследователь угроз в Avast.

«Joker может маскироваться под виртуальную клавиатуру, приложение камеры, лаунчер (системное приложение, с помощью которого можно менять внешний вид рабочего стола, размер и стиль иконок), онлайн-мессенджер, коллекцию стикеров, программу-раскраску, игру. Приложение будет казаться пользователю абсолютно нормальным и легитимным, поскольку оно работает как обычное приложение, как и должно работать. Вредоносный код активируется позже, и пользователь может не соотнести сразу навязанную премиальную подписку с приложением Joker», — сообщил Вавра.

До этого момента вирус в основном атаковал пользователей магазина Google Play, но теперь переключился на другую крупную площадку, значительно расширив свой охват. После санкций со стороны США компания Huawei потеряла возможность использовать магазин Google на своих устройствах, заменив его фирменным AppGallery.

Аудитория AppGallery составляет 530 млн активных юзеров, в том числе 18 млн россиян, что создает значительную угрозу кибербезопасности — ведь вирус коварен и прячется в «легальных» приложениях, чтобы замаскировать свое присутствие. 

Google массово удалил приложения с вирусом Joker из магазина приложений в октябре 2020 года, к тому моменту программы успели установить очень многие пользователи, рассказывает директор центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов. Тем не менее, по словам эксперта, принудительное удаление из магазина приложений полностью не решило проблему.

«Новые пользователи перестали видеть опасные программы в каталоге, но те, кто уже успел скачать их, могут до сих пор платить за подписки, которые они не оформляли, и не подозревать об этом», — заявил Чернов.

Эксперт также оценил перспективы попадания Joker в другой крупнейший магазин приложений — App Store от компании Apple.

«Крайне маловероятно, что приложения с вирусом Joker появятся в магазине App Store, так как Apple обладает более высоким уровнем верификации программ. Теоретически такую возможность исключать нельзя, так как злоумышленники могут постараться спрятать зловред и найти способ обойти проверку, но на это потребуется потратить довольно много усилий. Также хакерам придется трансформировать механику атаки, так как в iOS реализовать метод с утаиванием SMS о транзакциях не получится – платформа защищена от этого», — считает собеседник «Газеты.Ru».

«Джокер» наступает: опасный вирус захватил магазин приложений

Depositphotos/DC Films, коллаж