Компания Google удалила из своего онлайн-магазина 50 приложений, через которые распространялся мобильный зловред Expensive Wall. Вредоносную программу скачали от 1 млн до 4,2 млн раз. Исследователи из Check Point выяснили, что зловред рассылает SMS-сообщения на подставные платные сервисы без ведома и разрешения пользователей.

Как пишут Елена Рут, Андрей Полковниченко и Богдан Мельников, зловред выдал свое присутствие в приложении Lovely Wallpaper для управления обоями на Android. «Expensive Wall — это новый вариант вредоносной программы, выявленной в этом году на Google Play. На данный момент все семейство зловредов скачали от 5,9 млн до 21,1 млн раз», — уточняют исследователи.

Новейшая модификация стоит особняком на фоне предыдущих версий зловреда, так как в ней используется сложная техника обфускации кода, называемая упаковкой: вредоносный код сжимается и шифруется, чтобы его нельзя было обнаружить.

Информацию о зараженных приложениях передали в Google 7 августа, после чего компания их удалила. Однако, по словам экспертов, уже спустя несколько дней зловред снова всплыл в магазине Google Play в составе нового не идентифицированного приложения. За четыре дня наличия приложения в магазине было заражено еще 5000 устройств, сообщают в Check Point.

Новая волна заражений охватила приблизительно 50 приложений, однако команда Google Play борется с вредоносными программами на протяжении всего года. В прошлом месяце из Google Play удалили четыре мессенджера со шпионским ПО Sonic Spy. В мае в 40 приложениях обнаружили зловред под названием Judy, который пользователи успели скачать 36 млн раз.

В текущем году было как минимум четыре не связанных друг с другом случая, когда Google пришлось чистить Google Play от вредоносных программ. Это были зловреды DvmapSMSVovaZtorg, а также 132 приложения с вредоносными iFrame.

Исследователи не высказывают никаких предположений по поводу того, сколько денег принесла своим создателям SMS-афера Expensive Wall.

«Важно отметить, что все инфицированные приложения, установленные до их удаления из магазина, так и остались на устройствах пользователей. Все скачавшие эти приложения по-прежнему находятся в зоне риска и должны вручную их удалить со своих устройств», — прокомментировали в Check Point.

После установки приложение со встроенным Expensive Wall запрашивает несколько разрешений, в том числе доступ в Интернет для связи с командным сервером и возможность отправлять SMS-сообщения, чтобы подписывать пользователей на платные сервисы и отправлять платные SMS без их ведома. Специалисты предполагают, что приложения смогли пройти проверку безопасности Google Play потому, что этот вид мошенничества потребовал вполне стандартных разрешений, которые часто используются в безопасных приложениях.

«В Expensive Wall предусмотрен интерфейс между действиями в приложении и кодом JavaScript, выполняемым через веб-интерфейс WebView. Другими словами, код JavaScript, работающий через WebView, может вызывать операции в приложении. После установки и получения нужных разрешений Expensive Wall отправляет сведения о зараженном устройстве на свой командный сервер, в том числе информацию о его местоположении и уникальные идентификаторы, такие как MAC- и IP-адреса, IMSI и IMEI», — пишут эксперты.

Когда пользователь включает свой Android-смартфон или меняет параметры интернет-связи, зловред обращается к командному серверу и получает URL-адрес. По словам экспертов, этот URL-адрес «открывается через встроенный WebView. Страница содержит вредоносный JavaScript, способный вызывать встроенные в приложение функции через JavaScript Interface — к примеру, для оформления платной подписки и отправки SMS-сообщений».

Исследователи предупреждают разработчиков, что зловред Expensive Wall может попасть в другие приложения через SDK под названием GTK.

Категории: Аналитика, Вредоносные программы, Главное, Мошенничество