Malware Android.Joker je známý od podzimu 2019, neustále se však objevují nové verze a modifikace. Dříve se útočníci zaměřovali výhradně na oficiální aplikační obchod Google, Google Play si však na tohoto trojského koně již dává pozor. Po spuštění vlastního aplikačního obchodu Huaweie v důsledku amerických sankcí, kvůli nimž čínská společnost nemá přístup k Androidu a na něj navázaným službám, se tak útočníci zaměřili na AppGallery.
Zvolili přitom stejný způsob jako v případě aplikačního obchodu Google Play. Nebezpečný kód se skrýval v na první pohled neškodných aplikacích, díky čemuž jej dokážou v aplikačním obchodě udržet déle a ve výsledku tak infikovat více zařízení nic netušících uživatelů. Aktuálně se malware podle analytiků maskoval třeba jako virtuální klávesnice, fotografická aplikace, online komunikátor či hra.
„Osm z těchto aplikací bylo distribuováno vývojářem Shanxi kuailaipai network technology co., Ltd,“ informovala společnost Doctor Web na svém webu s tím, že od jiného vývojáře původem z Čína pocházely i zbývající dvě objevené nebezpečné aplikace.
Aplikace, které skutečně plní slibovanou funkci, na pozadí stáhnou a následně aktivují škodlivý kód. Ten uživatele bez jeho vědomí přihlásí k odběru prémiových služeb. Po stažení a prvním spuštění podvodná aplikace žádá přístup k oznámení. Důvod je nasnadě: útočníci tak dokážou zachytit příchozí SMS prémiových služeb s potvrzovacími/aktivačními kódy.
Podle analytiků mohou útočníci tímto způsobem uživatele bez jeho vědomí přihlásit k libovolnému počtu takových služeb. Ve výchozím nastavení jde o pět, jejich počet lze však libovolně navýšit či snížit. Výjimkou v tomto konkrétním případě nebylo přihlášení uživatele k celkem 10 prémiovým službám. A tak v případě, že nemá u mobilních plateb nastaveno zabezpečení ověřením každé transakce, může být ve výsledku opravdu nemile překvapen.
Čínský Huawei po upozornění ze strany společnosti Doctor Web všechny aplikace, v nichž byl malware Joker odhalen, ze svého aplikačního obchodu AppGallery stáhl. Současně informoval o podniknutí dalších kroků, které mají minimalizovat riziko, že by se malware Joker v budoucnu v jeho aplikačním obchodě malwarem znovu objevil.