«Лаборатория Касперского» обнаружила в Google Play новое семейство подписочных троянцев
«Лаборатория Касперского» обнаружила в Google Play новое семейство подписочных троянцев Fleckpe, которое распространяется в составе фоторедакторов, приложений с обоями для телефона и т. д.
По данным экспертов компании, троянец активен с начала 2022 года. Они нашли в Google Play 11 инфицированных этим зловредом приложений, которые установили пользователи более 620 тысяч устройств. С начала мая этих приложений в Google Play уже нет, однако эксперты предупреждают, что злоумышленники могли выложить другие, пока не обнаруженные, поэтому реальное число установок троянца может быть гораздо больше.
«При запуске приложения подгружается сильно обфусцированная нативная библиотека, содержащая вредоносный дроппер, который расшифровывает и запускает полезную нагрузку из ресурсов приложения. Полезная нагрузка связывается с командным сервером злоумышленников и отправляет данные о зараженном устройстве — в частности, коды MCC (Mobile Country Code) и MNC (Mobile Network Code), которые позволяют определить, в какой стране находится жертва и каким оператором сотовой связи она пользуется. Командный сервер в ответ отправляет страницу с платной подпиской.
Троянец открывает ее и пытается от имени пользователя подписаться на услугу. Если для этого необходимо ввести код подтверждения, зловред перехватывает уведомления, доступ к которым запрашивает в самом начале, и ищет в них подходящий код.
Заполучив код, троянец подставляет его в нужное поле и завершает оформление подписки. Жертва при этом пользуется легитимными функциями приложения — например, устанавливает обои или редактирует фото — и не знает, что ее подписывают на платные услуги», – поясняют эксперты «Лаборатории Касперского».
По их мнению, злоумышленники использовали MCC и MNC, судя по всему, для тестов. Коды оказались тайскими, а среди отзывов о зараженных приложениях в Google Play преобладали отзывы на тайском языке. Поэтому они полагают, что зловред нацелен на пользователей из Таиланда, хотя, по данным телеметрии «Лаборатории Касперского», есть жертвы и в других странах, в частности в Польше, Малайзии, Индонезии и Сингапуре.
Отмечается, что растущая сложность зловредов помогает им успешно проходить многочисленные проверки на стороне магазинов приложений и оставаться незамеченными достаточно продолжительное время. При этом пострадавшие пользователи чаще всего далеко не сразу обнаруживают непрошенные подписки, не говоря уже о том, что еще сложнее бывает понять, откуда они взялись. Поэтому такие троянцы дают злоумышленникам надежный источник нелегального дохода.
Новостная лента
Видео
Струнный квартет имени Комитаса отмечает 100-летие
