Chercheurs en sécurité chez Docteur Web a découvert un malware sur Huawei AppGallery Store qui abonne les utilisateurs à des services mobiles premium sans leur consentement. Les applications Android ont été téléchargées plus de 500 000 fois depuis l’App Store Huawei.
Huawei gère un site de distribution d’applications indépendant à partir de la boutique officielle Android de Google après que la société a mis fin à la prise en charge des appareils Huawei à la suite des sanctions américaines. Les chercheurs ont découvert au moins dix applications infectées par le malware Joker ciblant les téléphones Android Huawei.
Les applications fonctionnelles infectent les téléphones Android Huawei avec le malware Joker
Les chercheurs de Doctor Web ont noté que les applications malveillantes fonctionnaient comme annoncé mais contenaient des fonctionnalités cachées.
Ils contiennent des codes permettant de se connecter à un serveur de commande et de contrôle pour recevoir des instructions supplémentaires, des configurations et télécharger des charges utiles supplémentaires. Les applications contenaient également du code JavaScript pour imiter l’interaction des utilisateurs.
De plus, les applications infectées ont demandé l’accès aux notifications, leur permettant d’intercepter les codes d’abonnement SMS envoyés par les services mobiles premium.
Ils pourraient abonner un utilisateur individuel à un maximum de cinq services mobiles premium, bien que le nombre puisse être augmenté.
Les applications malveillantes téléchargent également des messages texte et des listes de contacts pour cibler davantage de personnes via le carnet d’adresses des victimes.
Les applications malveillantes comprenaient un clavier virtuel, une application de caméra, un lanceur, un messager en ligne, un jeu, une collection d’autocollants et des programmes de coloriage. La plupart des applications joker contenant des logiciels malveillants étaient liées à un seul développeur Shanxi Kuailaipai Network Technology Co., Ltd, tandis que deux provenaient d’une entité différente.
Les cinq principales applications infectées sont Super Keyboard (com.nova.superkeyboard), Happy Color (com.colour.syuhgbvcff), Fun Color (com.funcolor.toucheffects), New 2021 Keyboard (com.newyear.onekeyboard), Camera MX – Photo Caméra vidéo (com.sdkfj.uhbnji.dsfeff) et caméra BeautyPlus (com.beautyplus.excetwa.camera). D’autres étaient Color RollingIcon (com.hwcolor.jinbao.rollingicon), Funney Meme Emoji (com.meme.rouijhhkl), Happy Tapping (com.tap.tap.duedd) et All-in-One Messenger (com.messenger.sjdoifo ).
Problème de malware infectant les téléphones Android
La société russe de renseignement sur les menaces, Doctor Web, a révélé que les applications malveillantes d’AppGallery contenaient des charges utiles de malware joker similaires trouvées dans d’autres applications sur Google Play Store depuis 2017. Ainsi, le problème n’est pas exclusif aux smartphones Huawei.
De nombreux utilisateurs d’appareils Android ont involontairement téléchargé le malware Joker depuis la boutique officielle, car le cheval de Troie continue de muter et de se faufiler au-delà des défenses de Google.
De même, Tatyana Shishkova, analyste de logiciels malveillants pour Kaspersky Android, a déclaré que plus de 70 applications Android infectées par des logiciels malveillants Joker étaient présentes sur la boutique officielle.
Environ 17 variantes de logiciels malveillants Joker ciblant divers téléphones Android ont été détectées sur le Play Store en 2020. Les applications infectées comprennent les scanners PDF, les applications de collage de photos, la messagerie directe, les polices et les émoticônes et les claviers Android.
ZScaler a découvert qu’environ 120 000 utilisateurs ont téléchargé le logiciel malveillant Joker à partir de la boutique d’applications officielle Google Android. Par conséquent, le nombre de téléphones Android infectés est plus élevé et plus difficile à estimer.
Propagation du malware Joker
La découverte du malware Joker sur Huawei AppGallery représente les tentatives des cybercriminels de diversifier leurs canaux de distribution de malwares.
La société Doctor Web a alerté Huawei des applications infectées par le malware Joker et a publié une liste d’indicateurs de compromission.
Bien que Huawei ait supprimé les applications infectées par le malware Joker d’AppGallery, les utilisateurs qui les ont téléchargées ont toujours leur téléphone Android compromis. Ils doivent donc supprimer manuellement les applications pour éviter tout compromis supplémentaire.
Saryu Nayyar, PDG de Gurucul, dit que l’infection par le malware Joker «n’est pas une blague».
« Et encore plus déprimant, aucun chevalier noir ne va monter pour sauver les utilisateurs de ces applications malveillantes », a noté Nayyar.
Elle a ajouté que les utilisateurs devraient nettoyer manuellement leurs téléphones Android pour les débarrasser du malware Joker très répandu. Elle a cependant noté que les dommages étaient réversibles car les motivations des acteurs malveillants étaient purement financières.
Au contraire, il est peu probable que les acteurs de la menace ne poursuivent qu’une seule avenue pour gagner de l’argent avec les utilisateurs d’Android compromis. L’énorme trésor d’informations serait précieux pour exécuter des attaques de phishing et du chantage.
Les chercheurs ont trouvé des applications infectées par Joker #malware qui ont été téléchargées plus de 500 000 fois sur les téléphones Huawei. Ils abonnent les utilisateurs à environ 5 services mobiles premium. #cybersécurité #respectdata
«Les utilisateurs qui ont été abonnés à des services mobiles premium à la suite de ce malware peuvent demander le remboursement de ces services puisque les applications concernées sont connues. Le vrai problème réside dans Huawei puisque plus de 500000 utilisateurs se battront contre l’entreprise pour obtenir des remboursements de services premium. Si seulement Huawei pouvait envoyer Alfred « à la grotte des chauves-souris » pour créer une application auto-remboursable! Ensuite, ils pourraient avoir le dernier rire… »
