Вирусные аналитики компании «Доктор Веб» выявили первые вредоносные программы в AppGallery, официальном магазине приложений от производителя Android-устройств Huawei. Ими оказались опасные многофункциональные троянцы Android.Joker, основная функция которых – подписка пользователей на платные мобильные сервисы. В общей сложности в AppGallery обнаружено 10 модификаций троянцев этого семейства.

Android.Joker – относительно старое семейство вредоносных программ, известное с осени 2019 г. Ранее они встречались в основном в официальном каталоге Android-приложений Google Play. Однако злоумышленники, судя по всему, решили расширить масштабы своей деятельности и обратили внимание на альтернативные каталоги, поддерживаемые крупными игроками рынка мобильных устройств.

Как и в случае с другими версиями Android.Joker, обнаруженные модификации распространялись под видом безобидных приложений, которые при запуске работали так, как ожидали пользователи. Этот прием позволяет им дольше оставаться незамеченными и заразить как можно больше Android-устройств. Выявленные троянцы скрывались в виртуальных клавиатурах, приложении-фотокамере, лончере (программе управления начальным экраном), онлайн-мессенджере, сборнике стикеров, программах-раскрасках, а также в игре. Восемь из них распространял разработчик под именем Shanxi kuailaipai network technology co., ltd, а два других – разработчик под именем 何斌.

После старта вредоносных программ пользователи видят полноценные приложения. Однако под прикрытием образа безобидного ПО троянцы соединяются с управляющим сервером, получают необходимые настройки и скачивают один из вспомогательных компонентов, который затем запускают. Загружаемый компонент отвечает за автоматическую подписку владельцев Android-устройств на дорогостоящие мобильные услуги. Кроме того, приложения-приманки запрашивают доступ к уведомлениям, который понадобится им для перехвата поступающих от премиум-сервисов СМС с кодами подтверждения активации подписок. Эти же приложения задают лимит на количество успешно подключенных премиум-услуг для каждого пользователя. По умолчанию он равен 5, однако при получении конфигурации может быть изменен как в большую, так и меньшую сторону. 

Всего вредоносные приложения загрузили свыше 538 тыс. пользователей. После получения оповещения от компании «Доктор Веб» Huawei скрыла приложения с вредоносными программами в магазине приложений AppGallery для обеспечения безопасности пользователей и проведет дополнительную проверку с целью минимизации рисков появления подобных программ в будущем.