Преступная группа AsiaHitGroup запустила третью за два года волну мошеннических приложений в Google Play. На сей раз злоумышленники замаскировали вредонос Sonvpay под push-уведомления о необходимости обновления. Так пользователей обманом вынуждали подписываться на платные услуги.

Преступную схему раскрыли эксперты компании McAfee. Они обнаружили 15 приложений, которые скрывали WAP-биллинг за полезными функциями или файлами. В частности, Sonvpay притворялся сканером QR-кода, фонариком, точкой доступа WiFi, калькулятором или рингтоном. До удаления из магазина вредоносные программы успели скачать не менее 50 тыс. раз. По подсчетам исследователей, преступники могли заработать на этом от $60,5 тыс. до $145 тыс.

Группу AsiaHitGroup впервые заметили в конце 2016 года, когда ее участники заразили мобильные устройства 20 тыс. пользователей Малайзии и Таиланда первым вариантом зловреда, Sonvpay.A.

Спустя год, в ноябре 2017‑го, поддельный инсталлятор доработали, и его новая версия, Sonvpay.B, включила в список своих целей и Россию. Отбор жертв происходил по местоположению IP-адресов.

Третья волна атаки на Google Play началась в январе этого года при помощи очередной версии зловреда, Sonypay.C. После установки приложения появляется push-уведомление о необходимости его обновления. Подписка на платные сервисы оформляется вне зависимости от того, соглашается ли жертва с «условиями» или просто закрывает диалоговое окно.

При этом все программы выполняют заявленное в описании, и единственное, что может насторожить пользователя — это запрос на доступ к SMS-сообщениям. Как правило, жертвы не замечают мошенничества, пока не получают счета на оплату, а потом вынуждены выяснять, как именно отказаться от подписки, о которой у них нет информации.

Исследователи уведомили о находке Google 10 апреля, и вредоносное ПО немедленно удалили. Однако через несколько дней приложение Despacito for Ringtone опять обнаружилось в Google Play, и его вновь пришлось изолировать.

Случаев мошенничества при помощи SMS- или WAP-подписок за последние полтора года стало больше. Об этом по итогам 2017-го года сообщала «Лаборатория Касперского», прогнозируя сохранение этой тенденции в 2018-м.

Категории: Вредоносные программы, Мошенничество