ИБ-специалистыобнаружили очередную волну распространения троянов в Google Play. Злоумышленники маскируют вредоносные программы под известные приложения, например интернет-магазин «Юла» и голосовой помощник «Алиса», разработанный компанией «Яндексом».

Кампанию заметили эксперты Dr.Web — они зарегистрировали 127 фальшивых приложений с вредоносным кодом, а общее число загрузок составило 10 тысяч.

Помимо имени и иконки мошеннические сервисы способны имитировать интерфейс легитимных приложений и в ряде случаев позволяют пользователям полноценно работать с ним. В частности, троян Android.Click.265.origin маскировался под интернет-магазин «Эльдорадо». При запуске программы подгружалась мобильная версия сайта, с помощью которой жертва действительно могла совершать покупки.

Однако истинной целью приложения был показ рекламы и оформление от имени жертвы подписки на платные сервисы. При этом в случае использования мобильного Интернета согласие на предоставление премиум-услуг происходило автоматически — программа сама открывала целевые сайты и нажимала кнопку подтверждения. Эксперты обнаружили две модификации трояна, на данный момент обе удалены из Google Play.

Другой вид троянов получил название Android.Click.248.origin и известен ИБ-специалистам с апреля 2018 года. Зловред маскируется под приложение интернет-магазинов «Юла» и AliExpress или голосовой помощник «Алиса».

После запуска жертве предлагают скачать известную программу или ввести свой номер телефона на одной из фишинговых страниц злоумышленников, якобы для получения приза. Затем, как и в предыдущем случае, от имени пользователя оформляется подписка на платные сервисы.

Несколько другой тактики придерживался Android.FakeApp.110. Троян выдавал себя за приложение для получения вознаграждения за прохождение опросов. После нескольких простых тестовых заданий жертве предлагалось заплатить 100-200 рублей для подтверждения личности и получения бонуса, размер которого мог составлять десятки и сотни тысяч рублей.

Приложения получают команды отуправляющего сервера преступников. С его помощью злоумышленники способны заставить программу открыть не только сайт сервиса, под который она маскируется, но и вообще любой веб-ресурс, в том числе распространяющий другие виды мобильных зловредов.

В настоящее время все мошеннические приложения удалены из Google Play, однако преступники ежедневно пополняют репозиторий вредоносными сервисами, поскольку не несут реального наказания и ощутимых убытков.

В июле этого года из магазина Google выгнали 10 приложений для распространения мобильных банкеров. Зловреды также маскировались под легитимные сервисы, крали финансовую информацию и записывали нажатия на экранную клавиатуру.

Один из последних случаев массовой чистки Google Play произошел в начале августа этого года. Тогда из магазина было удалено 145 приложений, содержащих вредоносный код для атаки Windows-систем.

Категории: Вредоносные программы, Главное, Кибероборона, Мошенничество