Plus de 500 000 utilisateurs de Huawei qui s’abonnent à des services mobiles premium ont téléchargé des applications infectées par le malware Joker depuis la boutique Android officielle de la société.
Masqué par des applications fonctionnelles
Dans AppGallery, les chercheurs ont trouvé dix applications apparemment inoffensives qui contenaient un code malveillant. Ce dernier se connecte à un serveur de commande et de contrôle pour recevoir des configurations et des composants supplémentaires. Selon Doctor Web, le célèbre éditeur russe de solutions antivirus, les applications malveillantes ont conservé leurs fonctionnalités annoncées, mais ont téléchargé des composants qui ont abonné les utilisateurs à des services mobiles premium.
Les applications infectées ont demandé l’accès aux notifications, ce qui leur a permis d’intercepter les codes de confirmation envoyés par SMS par le service d’abonnement. Selon les chercheurs, le malware pourrait abonner un utilisateur à un maximum de cinq services, bien que l’acteur de la menace puisse modifier cette limitation à tout moment. Les claviers virtuels, une application de caméra, un lanceur (launcher), un outil de chat, une collection d’autocollants, des programmes de coloriage et un jeu figurent sur la liste des applications malveillantes.
Des applications téléchargées par plus de 538 000 utilisateurs
La plupart des applications sont développées par Shanxi Kuailaipai Network Technology Co., Ltd. Selon les explications de Doctor Web, les dix applications ont été téléchargées par plus de 538 000 utilisateurs de Huawei. Doctor Web a informé Huawei de ces applications et la société les a supprimées d’AppGallery. Alors que les nouveaux utilisateurs ne peuvent plus les télécharger, ceux qui ont déjà les applications en cours d’exécution sur leurs appareils doivent exécuter un nettoyage manuel.
Les chercheurs affirment que les mêmes modules téléchargés par les applications infectées dans AppGallery étaient également présents dans d’autres applications sur Google Play, utilisées par d’autres versions du malware Joker. Une fois actif, le malware communique avec son serveur distant pour obtenir le fichier de configuration. Ce dernier contient une liste de tâches, des sites web pour les services premium, du JavaScript qui imite l’interaction de l’utilisateur.
Joker en quelques mots
L’histoire du malware Joker remonte à 2017. Il a toujours trouvé son chemin dans les applications distribuées via Google Play Store. En octobre 2019, Tatyana Shishkova, analyste de logiciels malveillants Android chez Kaspersky, a tweeté à propos de plus de 70 applications compromises qui ont fait leur entrée dans la boutique officielle.
Et les publications de rapports sur les logiciels malveillants dans Google Play continuent. Début 2020, Google a annoncé que depuis 2017, il avait supprimé environ 1700 applications infectées par Joker. En février dernier, Joker était toujours présent dans le magasin et continue à échapper aux défenses de Google.
- Partager l'article :