Понад півмільйона користувачів смартфонів Huawei завантажили з офіційного магазину AppGallery додатки, інфіковані відомим “шкідником” Joker. Особливість цього зловмисного ПЗ для Android у тому, що він підписує користувачів на платні послуги.

Спочатку дослідники виявили десять програм, які на перший погляд здалися нешкідливими. Однак  згодом фахівці з’ясували, що ці програми містили шкідливий код для з’єднання з командним сервером (C2). Останній передавав софту конфігурацію і додаткові компоненти, пише Digital Information World.

Список зловмисних програм включав екранні клавіатури, додатки для зйомки фото, месенджер, лончер, колекцію стікерів і навіть гру. Щоб мати можливість перехоплювати СМС-повідомлення, софт запитує доступ до повідомлень.

Десять таких додатків завантажили загалом  538 тисяч користувачів. Ось ці зловмисні  програми:

  • Super Keyboard;
  • Happy Colour;
  • Fun Color;
  • New 2 021 Keyboard;
  • Camera MX – Photo Video Camera;
  • BeautyPlus Camera;
  • Color RollingIcon;
  • Funney Meme Emoji;
  • Happy Tapping;
  • All-in-One Messenger.

Також на GitHub можна знайти відповідні індикатори компрометації.

Detection nameSHA-1Application namePackage nameConfiguration
Android.Joker.531

2349b2c0238dcc52e072500ea402128de0a216cf

Super Keyboardcom.nova.superkeyboardhxxps://superkeyboard.oss-ap-southeast-1.aliyuncs.com/
Android.Joker.5310cfb4dd79fcfda7ecfcab7fd238f9f73ab8543d8Happy Colourcom.colour.syuhgbvcffhxxps://happycolor.oss-ap-northeast-1.aliyuncs.com/
Android.Joker.531443c73e1ee2cc7c9301ac4dfe14411762689baf5Fun Colorcom.funcolor.toucheffects

hxxps://funcolortoucheffects.oss-ap-southeast-2.aliyuncs.com/

Android.Joker.531ddebecf001fd0c7ce03bf4a3eb7b6abe779f0d2dNew 2021 Keyboardcom.newyear.onekeyboardhxxps://new2021keyboard.oss-ap-south-1.aliyuncs.com/
Android.Joker.594f1b49a444f554bb942fd8f5a9ff2a212d8db6247Camera MX – Photo Video Cameracom.sdkfj.uhbnji.dsfeffhxxps://cameramx-photovideocamera.oss-cn-wulanchabu.aliyuncs.com/
Android.Joker.5949dcc00513144612fdfcdb57278b2a54654b996ecBeautyPlus Cameracom.beautyplus.excetwa.camerahxxps://beautypluscamera.oss-ap-northeast-1.aliyuncs.com/
Android.Joker.6583950c89eb27c973dce8c1c0ea3ae30baa0f7544eColor RollingIconcom.hwcolor.jinbao.rollingiconhxxps://colorrollingicon.oss-cn-huhehaote.aliyuncs.com/
Android.Joker.6599d2337047ca59d1375c898cf7d0361fe56c3576cFunney Meme Emojicom.meme.rouijhhklhxxp://funneymemeemoji.oss-ap-southeast-5.aliyuncs.com/
Android.Joker.66057148c6e040fb15723e5ca040740ae8901fd2daeHappy Tappingcom.tap.tap.dueddhxxp://happytapping.oss-cn-qingdao.aliyuncs.com/
Android.Joker.662fb184efe017debc57eba118ab7aee17fd946e1ecAll-in-One Messengercom.messenger.sjdoifohxxps://allinonemessenger.oss-cn-shenzhen.aliyuncs.com/

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як відновити видалені публікації чи історії в Instagram? ІНСТРУКЦІЯ

Як захистити Вашу конфіденційність в Інтернеті, якщо режим анонімного перегляду у Chrome виявився слабким?

Чому у Вас є як мінімум три мільярди причин змінити пароль облікового запису?

Злам веб-сайту: сім ознак, що свідчать про це

Як підвищити захист екаунта в Twitter? ПОРАДИ

Нагадаємо, що майже всі найпопулярніші програми Android використовують компоненти з відкритим вихідним кодом, але багато з цих компонентів застаріли і мають як мінімум одну небезпечну уразливість. Через це вони можуть розкривати персональні дані, включаючи URL-адреси, IP-адреси і адреси електронної пошти, а також більш конфіденційну інформацію, наприклад, OAuth-токени, асиметричні закриті ключі, ключі AWS і web-токени JSON.

Окрім цього, фахівці компанії AdaptiveMobile Security повідомили подробиці про небезпечну проблему в технології поділу мережі 5G. Уразливість потенційно може надати зловмисникові доступ до даних і дозволити здійснювати атаки типу “відмови в обслуговуванні” на різні сегменти мережі 5G оператора мобільного зв’язку.

Також дослідники безпеки виявили в Google Play і Apple App Store сотні так званих fleeceware-додатків, які принесли своїм розробникам сотні мільйонів доларів.

До речі, в даркнеті виявили оголошення про продаж підроблених сертифікатів про вакцинацію і довідок про негативний тест на Covid-19. Крім того, число рекламних оголошень про продаж вакцин від коронавірусу збільшилося на 300% за останні три місяці.

Двох зловмисників з Кривого Рогу викрили у привласненні 600 тисяч гривень шляхом перевипуску сім-карт. Отримавши мобільний номер, зловмисники встановлювали дані про особу, яка раніше його використовувала. Для цього вони авторизувалися у різних мобільних додатках, зокрема поштових служб, державних, комунальних та медичних установ, використовуючи функцію відновлення паролю.