Пользователи Android подверглись атаке через рекламные объявления на Facebook

Пользователи Android подверглись атаке через рекламные объявления на Facebook

Киберпреступники всегда пытаются с помощью различных уловок привлечь внимание людей для совершения своих преступлений. Теперь они решили действовать комбинированным способом, используя Facebook (самую крупную социальную сеть в мире), WhatsApp (наиболее популярную программу обмена текстовыми сообщениями для смартфонов, которую недавно купил Facebook) и Android (наиболее популярную операционную систему для мобильных устройств) для обмана пользователей.

Группа, стоящая за этой атакой, использовала рекламу на Facebook, чтобы «достучаться» до будущих жертв и обмануть их при установке своих приложений. Когда Вы подключаетесь к Facebook с Вашего мобильного устройства Android, Вы увидите так называемый «предложенный пост» (тонкий эвфемизм Facebook для рекламы), который рекламирует утилиты для WhatsApp.

Рассмотрим, как это происходит, на примере испанских пользователей Android. Но в силу грамотного таргетинга данной рекламы аналогичные атаки, скорее всего, имеют место во многих странах.

pic 1

Кибермошенники используют не только самые популярные платформы, но и любопытство самих пользователей, предлагая способ пошпионить за разговорами людей из своего списка контактов. О популярности приложения можно судить количеству «лайков» и комментариев. Но и это не единственная приманка. Вам также предлагается приложение, позволяющее скрыть Ваш статус WhatsApp:

pic 2

Facebook предлагает таргетированную рекламу для рекламодателей: Вы можете указать, какому типу пользователей Вы хотите показывать свои рекламные объявления, где они должны отображаться (например, в правой колонке), в качестве предложенных постов или как-то иначе и т.д. В этом частном случае реклама показывается только испанским пользователям Facebook, подключившимся к данной социальной сети с мобильного устройства Android, потому что они являются целевой аудиторией данной «кампании». При подключении с ПК, iPad и iPhone, и ни в одном из этих случаев реклама не показывалась.

Если Вы нажмете на изображение, Вы будете перенаправлены сюда (в случае с любым рекламным объявлением из представленных выше):

pic 3

Любой пользователь Android видит, что это Google Play, а именно — страница для приложения. Она содержит опцию для установки приложения, а также показывает более 1 миллиона скачиваний и рейтинг пользователей 3,5 звезды (из 5). Если Вы пройдетесь по странице ниже, то увидите многочисленные положительные комментарии, а также данные о том, что свыше 35000 пользователей оценили эту программу:

pic 4

Однако, особо придирчивый пользователь заметит, что тут не все сходится:
— Приложение имеет оценку в 4,5, хотя количество звезд – 3,5

pic 5

— Вы можете увидеть, что балл вычисляется исходя из общего количества голосов пользователей — 35239. Хотя если Вы сложите количество голосов справа, то в целом получится 44060 голосов:

pic 6

Разве такое возможно в Google Play?.. На самом деле эта веб-страница копирует дизайн Play Store, поэтому пользователи думают, что они находятся на надежном сайте. Посмотрите в адресную строку браузера, и Вы увидите, что он постоянно скрыт. Если Вы нажмете на кнопку «Install», то будет загружаться файл под названием “whatsapp.apk”.
После его запуска данное приложение покажет следующий экран:

pic 7

Внизу экрана под кнопкой «Continue» (Продолжить) присутствует едва разборчивый текст, но увеличив его, мы прочтем следующее:

Стоимость каждого полученного SMS — 1,45 евро
Использование этого приложения возможно при соблюдении следующих условий и положений: подписываясь на услуги, Вы получите доступ к периодически обновляемому контенту и мультимедиа-контенту для Вашего телефона. Поставщиком сервиса является MICAMOSA MON DE SERVEI. SLU. Тел. 900844456. [email protected] Стоимость подписки на сервис составляет 1,45 евро за каждую минуту. Подписка на 797025. ОТМЕНА ПОДПИСКИ на 797025.

pic 8

Как и в случае, о котором мы сообщали ранее, программа содержит набор условий, касающихся подписки на дорогостоящий SMS-сервис. Тем не менее, если нажать на кнопку «Продолжить», то единственное, что произойдет (и будет видно пользователю), – это загрузка веб-страницы, которая действительно содержит советы относительно WhatsApp, хотя ни один из них не является предметом изначальной рекламы (в которой заявлялось о том, что Вы сможете шпионить за сообщениями пользователей из Вашего списка контактов WhatsApp).

Опасность заключается в том, что Вы не можете отследить всех действий приложения. Во-первых, программа проходит по списку зарегистрированных пользовательских аккаунтов, пытаясь найти аккаунт WhatsApp для того, чтобы получить соответствующий номер телефона. Если WhatsApp не установлен или нет возможности получить номер телефона, программа использует API для доступа к системным службам с целью получения требуемой информации.

Затем случайным образом выбирает один из следующих номеров:

797024
795964
797025

Программа выбирает, на какие из этих трех дорогостоящих SMS-сервисов будет подписан пользователь. Текст с условиями и положениями использования сервиса будет зависеть непосредственно от выбранного сервиса. В этом тексте (в зависимости от выбранного номера) Вы увидите названия этих двух компаний:

LINEAS DE RED INTELIGENTE S.L
MICAMOSA MON DE SERVEI, SLU

Затем программа устанавливает SMS-получателя для управления входящими текстовыми сообщениями. Интересен механизм, используемый для того, чтобы пользователи не понимали, что пришли новые текстовые сообщения с любого из этих трех номеров, указанных выше. Если все идет по плану, то процесс получения SMS будет вовремя прерван, и пользователь никогда не увидит этих SMS. Но если что-то пойдет не так, то программа будет использовать весьма остроумный метод, который позволит ей получать сообщения незаметно. Троян переведет работу устройства на беззвучный режим на несколько секунд, так что пользователь не услышит звук уведомления, а затем пометит это сообщение среди входящих как прочитанное.

Несмотря на то, что данный SMS-получатель имеет более высокий уровень приоритетности, нежели контроллер сообщений операционной системы, мы провели несколько тестов, и, похоже, в самой последней версии Android (4.4) программа не может перехватить контроль и фильтровать входящие SMS, а потому это тот самый момент, когда срабатывает план B. В предыдущих версиях Android подобный обман не требуется, потому что программа способна блокировать эти SMS и удалять их до того момента, когда они будут показаны на экране устройства.

Приложение имеет счетчик SMS, поэтому, когда поступает первое сообщение из дорогостоящего SMS-сервиса, программа читает его для получения необходимого номера PIN, а затем регистрирует на соответствующем веб-сайте для активации дорогостоящего сервиса. Другая интересная вещь заключается в том, что программа скрывает сообщения с номера 22365. Получается, что Orange отправляет SMS-предупреждение пользователям, которые активировали данный тип дорогостоящего сервиса, и эти SMS приходят с номера 22365. Троян удаляет это сообщение, в результате чего пользователь не узнает о том, что был подписан на дорогостоящий сервис.

Возвращаясь к «видимой» части приложения, после нажатия на кнопку «Продолжить» Вы увидите несколько предполагаемых «трюков» для WhatsAp:

pic 9Вот их полный список:

• Как узнать, если Вы заблокированы
• Как блокировать контакт
• Изменить Ваш статус
• Отправить гораздо больше, чем просто сообщения
• Изменить изображение Вашего профиля
• Создать ярлыки для чатов
• Использовать Enter для отправки сообщений
• Сделать резервную копию Ваших чатов
• Сохранить изображения, которые Вы отправили
• Изменить фон чата
• Отправить кому-нибудь историю чата

На самом деле, все эти так называемые «ноу-хау» легко доступны со страницы, на котором расположено приложение, без необходимости подписки на дорогостоящий сервис. Если Вы перейдете на основной веб-сайт, Вы можете увидеть, что кибермошенники используют в качестве приманки не только WhatsApp, но также и другие популярные приложения или разделы:

pic 10

При этом используется аналогичный способ. Он отправляет Вас на имитацию Google Play, где Вы можете скачать соответствующее приложение, которое будет иметь такие же скрытые функции, что были описаны выше:

pic 11

В этом случае, например, хакеры используют другие комментарии:

pic 12

В заключение мы хотим напомнить пользователям Panda Mobile Security, что они могут применять функцию «Аудитор конфиденциальности»: она позволяет классифицировать такие приложения в раздел «Платное», откуда их можно удалить. Мы также напоминаем Вам, что это не означает, что все приложения в этой категории являются вредоносными: сюда попадает любое приложение, которая обладает достаточными правами, чтобы работать описанным выше способом. Если Вы увидели, что установили приложение, которое обладает такими правами, то удалите его незамедлительно.

Оригинал статьи — Android users under attack through malicious ads in Facebook

Автор – Luis Corrons

Категории: Безопасность