Модераторы Google Play удалили из репозитория вредоносное приложение, маскировавшееся под неофициальный клиент мессенджера Telegram. На деле программа MobonoGram 2019 втайне от владельца смартфона запускала несколько процессов, а также открывала множество веб-сайтов. По данным ИБ-специалистов, фальшивку успели скачать более 100 тыс. пользователей Android-устройств.

Попав на смартфон, зловред ожидает одного из трех событий — загрузки устройства, установки или обновления какого-либо приложения, — после чего инициирует пять фоновых процессов. Если какой-либо из них принудительно завершает пользователь или система, через два часа он запускается вновь.

Зловред обращается к командному серверу и получает от него JSON-файл, содержащий URL сайта, строку с переменной User-Agent и три JavaScript-сценария. MobonoGram 2019 пытается открыть целевой веб-ресурс, используя заданные параметры заголовка, и выполняет это действие в бесконечном цикле, отправляя запросы сам на себя.

По мнению ИБ-экспертов, три скрипта предназначены для кликов по рекламным баннерам, а цель авторов приложения — получение дохода от криминальных партнерских схем. На момент исследования скрипты не выполняли целевых действий, однако создатели зловреда могут активировать их в любой момент. Исследователи утверждают, что адреса и содержимое целевых сайтов изменяются в зависимости от местоположения устройства, а подстановка фальшивой переменной User-Agent необходима для маскировки реального источника запроса.

В качестве автора вредоносного приложения указана компания RamKal Developers. До удаления из Google Play создатели MobonoGram 2019 успели выпустить как минимум пять обновлений программы. Кроме того, ИБ-специалисты обнаружили в репозитории мессенджер Whatsgram с теми же функциями и загруженный с того же аккаунта. Еще несколько аналогичных программ, выложенных разработчиком PhoenixAppsIR, нашлись в неофициальных хранилищах.

В прошлом году администраторы Google Play уже удаляли фальшивый Telegram. Приложение Telegraph Chat подражало оригинальному мессенджеру визуально, однако после установки забрасывало жертву многочисленными рекламными сообщениями.

Категории: Вредоносные программы, Мошенничество