Будьте пильні: додатки з Google Play вкрали мільйони євро в 10 млн користувачів

Близько 200 додатків з магазину Google Play крадуть гроші з Android-смартфонів.

Про це пише Forbes, посилаючись на експертів з компанії з кібербезпеки Zimperium.

Дослідники стверджують, що шахраї почали масштабну кампанію з поширення трояна GriftHorse у листопаді 2020 року, з тих пір він встиг "заразити" близько 10 млн смартфонів, що працюють на операційній системі Android. За допомогою приблизно 200 додатків злочинцям вдалося вкрасти мільйони доларів. Найбільше постраждали жителі Європи, однак, розміщення в Google Play дозволило охопити 70 країн по всьому світу, серед них виявилася і Україна.

"Від Австралії до Росії і від Південної Африки до Сполучених Штатів користувачі мобільних пристроїв по всьому світу були вкрадені завдяки цій кампанії", — заявив генеральний директор Zimperium Шрідхар Міттал. — "Зловмисники за цей час могли заволодіти мільйонами євро".

Після установлення програми нав'язливо показують вигулькові вікна, що інформують про виграш, пропонують забрати приз тощо. Тих, хто випадково або навмисно натискає кнопку згоди, перенаправляють на сторінку, мова якої змінюється залежно від геолокації IP-адреси користувача. Сайт вимагає ввести номер телефону, але замість видачі нагороди оформляє підписку на SMS-сервіс за $40 (€30) на місяць.

Фішингові програми маскувалися під різні додатки, включаючи ігри, перекладачі, гороскопи, моніторинг фізіологічних показників і навіть радар для пошуку паранормальних явищ. Так, заражену програму для перекладу Handy Translator Pro завантажили від 500 тис. до 1 млн користувачів.

"Ці шкідливі програми для Android здаються нормальними, коли ви читаєте їхній опис у магазині додатків, але помилкове відчуття впевненості змінюється, коли з користувачів щомісяця стягується плата за преміум-сервіс, на який вони підписуються без їхнього відома і згоди", — заявили дослідники.

Трояни GriftHorse створені з використанням фреймворку для розробки мобільних додатків Apache Cordova, який дозволяє розробникам використовувати стандартні веб-технології — HTML5, CSS3 і JavaScript для кросплатформених додатків. Технологія дозволяє автоматично встановлювати оновлення, не вимагаючи підтвердження користувача. У той же час її можуть використовувати для розміщення на сервері шкідливого коду і його запуску в реальному часі.

Після повідомлення від експертів з кібербезпеки про шкідливе ПЗ Google видалив сотні заражених програм зі свого магазину і заблокував розробників, проте вони продовжували обманювати користувачів протягом кількох місяців. Як з'ясувала Zimperium, шахраї змінили веб-сервери для управління додатками і перебралися на інші торговельні майданчики. Дослідники опублікували на сайті повний список шкідливих додатків, хеш і доменів, за допомогою яких обкрадають користувачів.

Раніше писали, що шахраї використовували презентацію iPhone 13 для крадіжки біткоїну і Ethereum. Вони запустили фейкову трансляцію, у ході якої запропонували перевести криптовалюту для отримання подвійного прибутку.