Onderzoekers hebben in de officiële appstore van Huawei en de APKPure-client Android-malware ontdekt. Volgens antivirusbedrijf Doctor Web is het de eerste keer dat erin de AppGallery van Huawei malware wordt aangetroffen. In totaal ging het om tien malafide apps zoals een virtual keyboard, camera-app, launcher, online messenger, stickerverzameling, fotobewerkings-app en een spel.

De apps werken zoals beloofd, maar zijn ook voorzien van de Joker Trojan. Deze malware-familie kan sms-berichten, adresboeken en apparaatgegevens stelen, alsmede slachtoffers op allerlei premium sms-diensten abonneren. Hiervoor maakt de malware gebruik van een aparte WebView waarin JavaScript wordt geladen. Deze JavaScript klikt automatisch op de benodigde knoppen voor het aanmelden van het slachtoffer en voert ook zijn telefoonnummer in.

Vervolgens wordt het sms-bericht met de bevestigingscode voor het abonneren op de sms-dienst onderschept en door de malware ingevoerd op de website. De malware onderschept niet alleen sms-berichten met bevestigingscodes, maar de inhoud van alle sms-berichten wordt naar de aanvallers gestuurd. Volgens Doctor Web hebben 538.000 Huawei-gebruikers de malafide apps gedownload.

APKPure

Daarnaast heeft de virusbestrijder ook Android-malware in de officiële client van APKPure aangetroffen, een populaire alternatieve appstore. Gebruikers kunnen via de client allerlei apps uit de APKPure-store installeren. Doctor Web stelt dat versie 3.17.18 van APKPure besmet is. De app is voorzien van een geldige digitale handtekening van de ontwikkelaar. “Dit kan suggereren dat de trojan opzettelijk door onbekende insiders is toegevoegd, of dat er een inbraak heeft plaatsgevonden en er toegang tot systemen van de appstore-ontwikkelaars is verkregen”, aldus het antivirusbedrijf.

Onlangs bleek dat aanvallers erin waren geslaagd om een officiële updateserver van smartphonefabrikant Gigaset te compromitteren en zo besmette updates onder gebruikers uit te rollen. De malware die zo op de toestellen werd geïnstalleerd is volgens Doctor Web gelinkt aan de kwaadaardige code die in de APKPure-app is aangetroffen. De malware kan zonder interactie van gebruikers aanvullende apps installeren of verwijderen. Daarnaast kan de malware websites in de browser van de gebruiker laden, bijvoorbeeld met advertenties of phishingsites. Gebruikers wordt aangeraden de APKPure-app te verwijderen.

Source