Понад півмільйона користувачів смартфонів Huawei завантажили з офіційного магазину AppGallery додатки, інфіковані відомим “шкідником” Joker. Особливість цього зловмисного ПЗ для Android у тому, що він підписує користувачів на платні послуги.
Спочатку дослідники виявили десять програм, які на перший погляд здалися нешкідливими. Однак згодом фахівці з’ясували, що ці програми містили шкідливий код для з’єднання з командним сервером (C2). Останній передавав софту конфігурацію і додаткові компоненти, пише Digital Information World.
Список зловмисних програм включав екранні клавіатури, додатки для зйомки фото, месенджер, лончер, колекцію стікерів і навіть гру. Щоб мати можливість перехоплювати СМС-повідомлення, софт запитує доступ до повідомлень.
Десять таких додатків завантажили загалом 538 тисяч користувачів. Ось ці зловмисні програми:
- Super Keyboard;
- Happy Colour;
- Fun Color;
- New 2 021 Keyboard;
- Camera MX – Photo Video Camera;
- BeautyPlus Camera;
- Color RollingIcon;
- Funney Meme Emoji;
- Happy Tapping;
- All-in-One Messenger.
Також на GitHub можна знайти відповідні індикатори компрометації.
| Detection name | SHA-1 | Application name | Package name | Configuration |
|---|---|---|---|---|
| Android.Joker.531 |
2349b2c0238dcc52e072500ea402128de0a216cf |
Super Keyboard | com.nova.superkeyboard | hxxps://superkeyboard.oss-ap-southeast-1.aliyuncs.com/ |
| Android.Joker.531 | 0cfb4dd79fcfda7ecfcab7fd238f9f73ab8543d8 | Happy Colour | com.colour.syuhgbvcff | hxxps://happycolor.oss-ap-northeast-1.aliyuncs.com/ |
| Android.Joker.531 | 443c73e1ee2cc7c9301ac4dfe14411762689baf5 | Fun Color | com.funcolor.toucheffects |
hxxps://funcolortoucheffects.oss-ap-southeast-2.aliyuncs.com/ |
| Android.Joker.531 | ddebecf001fd0c7ce03bf4a3eb7b6abe779f0d2d | New 2021 Keyboard | com.newyear.onekeyboard | hxxps://new2021keyboard.oss-ap-south-1.aliyuncs.com/ |
| Android.Joker.594 | f1b49a444f554bb942fd8f5a9ff2a212d8db6247 | Camera MX – Photo Video Camera | com.sdkfj.uhbnji.dsfeff | hxxps://cameramx-photovideocamera.oss-cn-wulanchabu.aliyuncs.com/ |
| Android.Joker.594 | 9dcc00513144612fdfcdb57278b2a54654b996ec | BeautyPlus Camera | com.beautyplus.excetwa.camera | hxxps://beautypluscamera.oss-ap-northeast-1.aliyuncs.com/ |
| Android.Joker.658 | 3950c89eb27c973dce8c1c0ea3ae30baa0f7544e | Color RollingIcon | com.hwcolor.jinbao.rollingicon | hxxps://colorrollingicon.oss-cn-huhehaote.aliyuncs.com/ |
| Android.Joker.659 | 9d2337047ca59d1375c898cf7d0361fe56c3576c | Funney Meme Emoji | com.meme.rouijhhkl | hxxp://funneymemeemoji.oss-ap-southeast-5.aliyuncs.com/ |
| Android.Joker.660 | 57148c6e040fb15723e5ca040740ae8901fd2dae | Happy Tapping | com.tap.tap.duedd | hxxp://happytapping.oss-cn-qingdao.aliyuncs.com/ |
| Android.Joker.662 | fb184efe017debc57eba118ab7aee17fd946e1ec | All-in-One Messenger | com.messenger.sjdoifo | hxxps://allinonemessenger.oss-cn-shenzhen.aliyuncs.com/ |
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як відновити видалені публікації чи історії в Instagram? ІНСТРУКЦІЯ
Чому у Вас є як мінімум три мільярди причин змінити пароль облікового запису?
Нагадаємо, що майже всі найпопулярніші програми Android використовують компоненти з відкритим вихідним кодом, але багато з цих компонентів застаріли і мають як мінімум одну небезпечну уразливість. Через це вони можуть розкривати персональні дані, включаючи URL-адреси, IP-адреси і адреси електронної пошти, а також більш конфіденційну інформацію, наприклад, OAuth-токени, асиметричні закриті ключі, ключі AWS і web-токени JSON.
Окрім цього, фахівці компанії AdaptiveMobile Security повідомили подробиці про небезпечну проблему в технології поділу мережі 5G. Уразливість потенційно може надати зловмисникові доступ до даних і дозволити здійснювати атаки типу “відмови в обслуговуванні” на різні сегменти мережі 5G оператора мобільного зв’язку.
Також дослідники безпеки виявили в Google Play і Apple App Store сотні так званих fleeceware-додатків, які принесли своїм розробникам сотні мільйонів доларів.
До речі, в даркнеті виявили оголошення про продаж підроблених сертифікатів про вакцинацію і довідок про негативний тест на Covid-19. Крім того, число рекламних оголошень про продаж вакцин від коронавірусу збільшилося на 300% за останні три місяці.
Двох зловмисників з Кривого Рогу викрили у привласненні 600 тисяч гривень шляхом перевипуску сім-карт. Отримавши мобільний номер, зловмисники встановлювали дані про особу, яка раніше його використовувала. Для цього вони авторизувалися у різних мобільних додатках, зокрема поштових служб, державних, комунальних та медичних установ, використовуючи функцію відновлення паролю.
