Разделы
Материалы

Новые "умные" приложения для мошенничества обнаружены в Google Play

Фото: Digital Trends

Вредоносный код загружался в чистые и проверенные приложения вместе с их обновлениями.

В фирменный магазин Android-приложений Google Play проникла группа мошеннических программ, нацеленных на пользователей Android в Юго-Западной Азии и на Аравийском полуострове. Их загрузили не менее 700 тыс. раз до того, как они были обнаружены, и Google приступила к их удалению, сообщается в блоге компании McAfee.

Примеры мошеннических приложений в Google Play

Вредоносные программы были встроены в фоторедакторы, обои, головоломки, оболочки клавиатуры и другие приложения. Они перехватывали уведомления о SMS-сообщениях, а затем совершали несанкционированные покупки. 

Поскольку все приложения проходят процесс проверки перед размещением в Google Play, мошенники отправляли на проверку "чистую" версию приложения, а вредоносный код попадал в него через обновления.

McAfee Mobile Security определила эту угрозу как Android/Etinu. Она продолжает ее отслеживать и сотрудничать с Google для удаления вредоносных приложений из Google Play.

В блоге McAfee расписан механизм действия вредоносного ПО, встроенного в эти приложения. Оно использует динамическую загрузку кода. Зашифрованные файлы вредоносного ПО появляются в папке ресурсов приложения с такими именами, как cache.bin, settings.bin, data.droid или, казалось бы, в виде безобидных png-файлов.

После загрузки вредоносные файлы автоматически расшифровываются, и схема начинает работать.

Исследователи пришли к выводу, что мошенники могли получать сведения об операторе связи пользователя, номере телефона, SMS-сообщениях, IP-адресе, стране и др.

В McAfee Mobile Research считают, что угрозы, использующие функцию перехватом уведомлений, будут продолжать развиваться. Поэтому они рекомендуют пользователям обращать особое внимание на приложения, которые запрашивают разрешения, связанные с SMS и прослушиванием уведомлений. Настоящие приложения для обработки фотографий или установки обоев просто не будут запрашивать их, потому что они не нужны для их запуска. "Если запрос кажется подозрительным, не принимайте его", – напоминают в компании.

Напомним, злоумышленники придумали, как обойти фильтры корпоративных информационных систем, в результате письма со спамом начинают сыпаться в папку "Входящие". В частности из-за этого одна компания получила около 300 тысяч писем со спамом на протяжении одного дня и вынуждена была отключить учетные записи для сброса данных.

Аналитики компании IBM заявили об обнаружении интернет-слежки за логистическими цепочками одной из организаций, занимающихся хранением и доставкой вакцин против COVID-19.