信息來源：嘶吼網

Doctor Web研究人員發(fā)現華為官方應用商店AppGallery中10個看似無害的APP中含有連接到惡意C2服務器來接收配置信息和其他組件的惡意代碼。目前，有超過50萬臺華為設備下載了感染Joker 惡意軟件的APP。

偽裝成功能APP

研究人員分析發(fā)現，惡意APP的功能仍然與宣傳的一致，但是會下載讓用戶訂閱付費移動服務的組件。為了不讓用戶察覺APP的惡意行為，APP會請求對通知的訪問權限，這樣就可以攔截訂閱服務通過SMS發(fā)送的確認碼了。

目前，惡意軟件會讓用戶訂閱最多5個服務，但是攻擊者隨時都可以修改這一限制。惡意APP包括虛擬鍵盤、照相機、啟動器、在線消息軟件、涂色程序、游戲等等。

這些惡意APP的開發(fā)者多數來自山西快來拍網絡科技有限公司。據統計，目前有超過53.8萬華為用戶下載了這10款惡意APP。

Doctor Web 通知華為后，華為已經從AppGallery 應用商店中移除了這10款含有惡意代碼的應用程序。

Joker

研究人員稱，AppGallery中受感染的APP下載的模塊也出現在Google Play中的應用程序中，屬于Joker 惡意軟件的不同版本。

一旦激活，惡意軟件就會與遠程服務器連接來獲取配置文件，其中含有任務列表，付費服務的網站、模擬用戶交互的JS代碼等。

Joker 惡意軟件的歷史可以追溯到2017年。2019年，Kaspersky研究人員對70款受感染的APP 進行了分析。2020年，谷歌發(fā)布報告稱自2017年，谷歌已經移除了超過1700個被Joker 感染的APP。