Исследовательская группа Panda Mobile Security обнаружила новую угрозу, которая инфицировала не менее 300 000 людей, хотя, на самом деле, их число может быть в 4 раза больше — порядка 1 200 000. Все эти вредоносные приложения можно загрузить с Google Play:
Как такое возможно, что там могут размещаться вредоносные приложения? Что ж, это уже не первый случай, когда вредоносные программы смогли преодолеть различные фильтры, после чего они были опубликованы. Возможны русскоязычные и англоязычные версии данных приложений. Объясню, как они работают и как они крадут Ваши деньги.
Давайте остановимся на одном из них – «Dietas para reducir el abdomen». Вы устанавливаете приложение, открываете его, и оно начинает загружаться:
После этого Вам будет показан следующий экран:
Когда Вы нажмете на «Siguiente» (Далее), приложение предложит Вам доступ к одной из диет:
Очень трудно разглядеть крестик в правом верхнему углу экрана… Авторы хотят убедиться, что мы нажмем на кнопку «Entrar» (Войти). Когда Вы нажмете на нее, то поверх предыдущего экрана будет показано сообщение:
В общем, авторы просят Вас согласиться («Aceptar») с условиями использования сервиса, чтобы иметь возможность просмотреть его содержимое. Но взгляните снова на картинку: позади сообщения все еще показывается предыдущий экран, однако есть «небольшая» разница: посмотрите на зеленую кнопку «Entrar», ниже которой представлен небольшой текст, полностью нечитабельный, которого ранее не было. Давайте увеличим масштаб изображения:
В этом тексте представлены условия сервиса (с которыми Вы согласитесь, если нажмете на кнопку «Aceptar»), и в них говорится, что Вы будете подписаны на сервис для получения информации на Ваш мобильный телефон. Конечно, этот текст в своем оригинальном размере полностью нечитабелен.
После того как Вы согласитесь с условиями сервиса и нажмете на кнопку входа («Entrar»), произойдет следующее:
• Пользователь увидит ряд советов по уменьшению своего живота.
• Без ведома пользователя приложение получит телефонный номер устройства, перейдет на веб-сайт и зарегистрирует пользователя на сервис дорогостоящих SMS.
Данный сервис для своей активации требует подтверждения, а потому он отправит SMS на данный номер с PIN-кодом, которые должны быть введены для завершения процесса и начала кражи Ваших денег. Данное приложение ожидает это специальное сообщение, и после его поступления оно перехватывает его, анализирует, выдергивает PIN-код и подтверждает вместо Вас активацию сервиса. Затем оно удаляет это сообщение без показа какого-либо уведомления на экране, в результате чего SMS нигде более не показывается. И повторюсь, все эти действия осуществляются без ведома пользователя.
Стоит отметить, как происходить кража телефонного номера. Как правило, приложения берут номер телефона из SIM-карты (для этого в операционной системе существует соответствующая функция), однако в силу вопросов безопасности многие провайдеры не хранят там номер. Чтобы решить возникшую проблему, данное приложение «крадет» номер из одного из самых популярных в мире мобильных приложений — WhatsApp. Если Вы помните, после открытия WhatsApp в первый раз Вас просят ввести номер Вашего мобильного телефона. Популярное приложение для сообщений использует этот номер (среди прочего) в качестве идентификатора для синхронизации с WhatsApp:
Согласно Google Play, данное вредоносное приложение о диетах было скачено от 50 000 до 100 000 раз. Другие приложения, о которых я уже упоминал, имеют примерно такую же статистику. Если мы добавим цифры по скачиванию все 4 приложений, то в сумме получим от 300 000 до 1 200 000 скачиваний суммарно. 2 приложения были опубликованы в декабре 2013, а другие 2 приложения – в январе 2013, так что количество скачиваний действительно впечатляет. В комментариях пользователи пишут, что многие из них устанавливают эти приложения, потому что они в разных играх получили купон на установку этих мошеннических приложений.
Они взимают огромные суммы за свои сервисы дорогостоящих SMS: по самым скромным подсчетам, если принять стоимость одного сообщения за 20 долларов, можно говорить о крупной афере, которая могла бы принести своим авторам от 6 до 24 миллионов долларов!
Panda Mobile Security обнаруживает эту угрозу, но это не играет большой роли: на днях мы нашли сотни приложений с подобным поведением, которые не обнаруживаются никаким антивирусным продуктом. И потом, что мы можем сделать для собственной защиты? Если являетесь пользователем Panda Mobile Security, то Вы знаете о функционале «Аудитор конфиденциальности». Если Вы зайдете в настройку этой функции, то увидите, что любое приложение данного типа поведения будет помечено как «Cost Money», и Вы сможете удалить его.
И вне зависимости от используемого Вами решения безопасности, пожалуйста, всегда читайте права, необходимые для установки каждого приложения. Если у приложения есть права на чтение Ваших SMS и подключение к Интернету, но в этом нет никакой необходимости, то не устанавливается такое приложение.
Как я говорил ранее, такие приложения могут оставаться на Google Play достаточно продолжительное время, т.к. фактически пользователи сами согласились с условиями сервиса, а потому авторы таких приложений могут иметь вполне легальную защиту на определенном уровне. Однако этого недостаточно для того, чтобы Panda Mobile Security перестал их обнаруживать и удалять.
PS: Все 4 приложения были удалены с Google Play. Публикуем на всякий случай хэштеги этих приложений:
b83a180a92fb706e6f120f36cca6ddc43670d55c
fce9824f02f6bfb57c685d85a43d4c5c051cc498
af9429cf93a2a569da72c30bf52e0305d95bb7e8
e8868f6b3e4dd76367840214d881873ec42705a6
Оригинал статьи — New malware attack through Google Play
Автор – Luis Corrons