Stando a quanto riportato da Bleeping Computer, oltre 500.000 utenti Huawei hanno scaricato dallo store Android ufficiale del produttore cinese delle applicazioni infettate da Joker, un malware che porta alla sottoscrizione di servizi mobile premium.

In particolare, i ricercatori di sicurezza hanno trovato dieci applicazioni apparentemente innocue in AppGallery che contenevano invece del codice per la connessione a server di comando e controllo dannosi per ricevere configurazioni e componenti aggiuntivi.

Trovato il malware Joker in 10 app sullo store di Huawei

A spiegare il sistema utilizzato da tale malware è stato lo staff di Doctor Web: in pratica, le app infette per tenere gli utenti all’oscuro hanno richiesto l’accesso alle notifiche, in modo da potere intercettare i codici di conferma consegnati tramite SMS dai servizi di abbonamento a cui sono stati iscritti all’insaputa delle vittime.

Huawei AppGallery

Secondo il team di ricercatori di sicurezza, il malware in questione potrebbe iscrivere un utente a un massimo di cinque servizi ma pare che questa limitazione possa essere modificata in qualsiasi momento.

L’elenco delle applicazioni dannose includeva tastiere virtuali, un’app per fotocamera, un launcher, una soluzione per la messaggistica online, una raccolta di adesivi e un gioco. Questi i nomi delle app e dei pacchetti:

  • Super Keyboard – com.nova.superkeyboard
  • Happy Colour – com.colour.syuhgbvcff
  • Fun Color – com.funcolor.toucheffects
  • New 2021 Keyboard – com.newyear.onekeyboard
  • Camera MX – Photo Video Camera – com.sdkfj.uhbnji.dsfeff
  • BeautyPlus Camera – com.beautyplus.excetwa.camera
  • Color RollingIcon – com.hwcolor.jinbao.rollingicon
  • Funney Meme Emoji – com.meme.rouijhhkl
  • Happy Tapping – com.tap.tap.duedd
  • All-in-One Messenger – com.messenger.sjdoifo

La maggior parte di queste applicazioni è stata realizzata da Shanxi Kuailaipai Network Technology Co., Ltd. e in totale tali app sono state scaricate oltre 538.000 volte.

I ricercatori di sicurezza affermano che gli stessi moduli scaricati dalle applicazioni infette in AppGallery erano presenti anche in altre app sul Google Play Store, utilizzate da altre versioni del malware Joker (le cui prime apparizioni risalgono addirittura al 2017), che ha portato alla rimozione di oltre 1.700 applicazioni.