Розділи
Матеріали

Нові "розумні" додатки для шахрайства знайдені в Google Play

Фото: Digital Trends

Шкідливий код завантажувався в чисті та перевірені програми разом з їх оновленнями.

У фірмовий магазин Android-додатків Google Play проникла група шахрайських програм, націлених на користувачів Android у Південно-Західній Азії і на Аравійському півострові. Їх завантажили не менше 700 тис. разів до того, як вони були знайдені, і Google почала їх видаляти, повідомляється в блозі компанії McAfee.

Приклади шахрайських додатків у Google Play

Шкідливі програми були вбудовані в фоторедактори, шпалери, головоломки, оболонки клавіатури й інші додатки. Вони перехоплювали повідомлення про SMS-повідомлення, а потім здійснювали несанкціоновані покупки.

Оскільки всі програми проходять процес перевірки перед розміщенням у Google Play, шахраї відправляли на перевірку "чисту" версію додатка, а шкідливий код потрапляв у нього через оновлення.

McAfee Mobile Security визначила цю загрозу як Android/Etinu. Вона продовжує її відстежувати і співпрацювати з Google для видалення шкідливих програм із Google Play.

У блозі McAfee розписаний механізм дії шкідливого ПЗ, вбудованого в ці додатки. Воно використовує динамічне завантаження коду. Зашифровані файли шкідливого ПЗ з'являються в папці ресурсів програми з такими іменами, як cache.bin, settings.bin, data.droid або, здавалося б, у вигляді нешкідливих png-файлів.

Після завантаження шкідливі файли автоматично розшифровуються, і схема починає працювати.

Дослідники дійшли висновку, що шахраї могли отримувати відомості про оператора зв'язку користувача, номер телефону, SMS-повідомлення, IP-адресу, країну тощо.

У McAfee Mobile Research вважають, що загрози, які використовують функцію перехоплення повідомлень, будуть продовжувати розвиватися. Тому вони рекомендують користувачам звертати особливу увагу на додатки, які запитують дозволу, пов'язані із SMS і прослуховуванням повідомлень. Справжні додатки для обробки фотографій або встановлення шпалер просто не братимуть участь в них, тому що вони не потрібні для їх запуску. "Якщо запит здається підозрілим, не підтверджуйте його", — нагадують в компанії.

Нагадаємо, зловмисники вигадали, як обійти фільтри корпоративних інформаційних систем, зрештою листи зі спамом починають сипатися в папку "Вхідні". Зокрема через це одна компанія отримала майже 300 тисяч листів зі спамом протягом одного дня і змушена була відключити облікові записи для скидання даних.

Аналітики компанії IBM заявили про виявлення інтернет-стеження за логістичними ланцюжками однієї з організацій, що займаються зберіганням і доставкою вакцин проти COVID-19.