Joker malware infects over 500,000 Huawei Android devices
2021/04/10 BleepingComputer — 50万人以上の Huawei ユーザーが、同社の公式 Android Store でプレミアム・モバイル・サービスをサブスクライブするために、Joker マルウェアに感染したアプリケーションをダウンロードしているようだ。研究者たちが発見したのは、AppGallery 上の無害に見える10個のアプリに、悪意のコンフィグレーション・コンポーネントを受け取るためのコマンドや、悪意のサーバー接続のためのコードが含まれているという事実である。
ウイルス対策メーカーである Doctor Web のレポートによると、悪意のアプリは広告機能を持つ一方で、プレミアム・モバイル・サービスのサブスクライブ・コンポーネントをダウンロードしている。そして、感染したアプリはユーザーに悟られないように、ノーティフィケーションへのアクセスを要求し、サブスクライブ・サービスから SMS で送られてくる確認コードを傍受していた。研究者たちによると、このマルウェアがユーザーに提供できるサービス数は最大で5つだが、この制限はいつでも変更できるようになっている。
Doctor Web から Huawei に報告があり、一連の問題アプリが AppGallery から削除されたとのことです。したがって、悪意のアプリが新規にダウンロードされることはなくなりましたが、すでにアプリをインストールしているユーザーは、手動でクリーンアップを実施する必要があると、この記事は指摘しています。研究者によると、AppGallery で感染したアプリからダウンロードされた悪意のモジュールが、Google Play上の他のアプリにも存在し、Joker マルウェアの別バージョンで使用されていたようです。このマルウェアが起動すると、リモートサーバーと通信して設定ファイルを取得します。この設定ファイルには、タスクのリストだけではなく、プレミアム・サービスの Web サイトや、ユーザーの操作を模倣する JavaScript などが含まれているようです。
IoT OT Security News 