Приложение, содержащее модифицированный вымогатель Charger, просочилось в Google Play и было скачано по крайней мере 5 тыс. раз.

Предыдущую версию Charger обнаружили в январе этого года. Вымогатель, требовавший за разблокировку 0,2 биткойна, прятался в EnergyRescue, утилите управления батареей электропитания, распространяемой через Google Play.

Новый вариант зловреда был вшит во внешне легитимное приложение-фонарик Flashlight LED Widget, и, в отличие от предыдущей версии, выкуп за разблокировку домашнего экрана не является целью зловреда.

Обновленный Charger работает на всех версиях Android и способен прятать свою истинную сущность. Он отображает фишинговые экраны, имитирующие функциональность легитимных приложений, перехватывает текстовые сообщения и временно блокирует устройство, чтобы не допустить попыток пресечь вредоносные процессы.

При установке зловред требует у пользователей права администратора и разрешение демонстрировать экран поверх других приложений (в Android 6.0 и выше).

В новой версии, получившей кодовое название Charger.B, для связи с командным сервером используется Firebase Cloud Messages (FCM). Зловред отправляет на сервер фотографию пользователя, сделанную фронтальной камерой. Как полагают исследователи, у новоявленного Charger нет фиксированного списка атакуемых банковских приложений.

Исходя из списка установленных на зараженном устройстве приложений, командный сервер имитирует соответствующую активность и посылает на девайс вредоносный HTML-код. Последний исполняется WebView после запуска атакуемого приложения. Пользователю демонстрируется поддельный экран, запрашивающий данные кредитки или данные учетной записи в онлайн-банке.

Исследователи столкнулись со случаями атак на клиенты Commbank, NAB и Westpac Mobile Banking, а также на Facebook, WhatsApp, Instagram и Google Play. Такая гибкая функциональность дает возможность масштабировать атаку на любые приложения.

Блокировка смартфона является отвлекающим маневром, чтобы занять жертву, пока злоумышленники опустошают ее счета. Пользователи видят фальшивый экран, сообщающий, что на устройство устанавливается обновление и потому оно не может использоваться в настоящий момент.

Charger.B обнаружили аналитики ESET, уведомившие Google и добившиеся его оперативного удаления из магазина.

Категории: аналитика, вредоносные программы

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *