Записів не знайдено.
23 червня 2016 року
Каталог цифрового контенту Google Play залишається найбезпечнішим джерелом Android-додатків, однак і в ньому час від часу з'являються всілякі шкідливі програми. Однією з них став виявлений вірусними аналітиками компанії «Доктор Веб» троянець Android.Valeriy.1.origin, якого вирусописатели використовують для заробітку на дорогих підписках, а також для поширення інших шкідливих додатків.
Троянець Android.Valeriy.1.origin є шкідливий плагін, який вирусописатели вбудували в невинне ПО. Він поширюється розробниками ZvonkoMedia LLC, Danil Prokhorov, а також horshaom в шести додатках, доступних в Google Play:
- Battery Booster;
- Power Booster;
- Blue Color Puzzle;
- Blue And White;
- Battery Checker;
- Hard Jump - Reborn 3D.
Всі вони є іграми і сервісними утилітами, і на цей момент в цілому з каталогу їх завантажила більше 15 500 користувачів. У той же час керівник сервер троянця, до якого отримали доступ фахівці компанії «Доктор Веб», містить відомості про більш ніж 55 000 унікальних установках. Вірусні аналітики «Доктор Веб» передали в компанію Google інформацію про програми, які приховують в собі Android.Valeriy.1.origin, однак на момент виходу новини вони все ще були присутні в каталозі.
Після запуску ігор і додатків, в яких знаходиться Android.Valeriy.1.origin, шкідливий модуль з'єднується з керуючим сервером і отримує від нього завдання, що містить спеціально сформовану посилання. Троянець автоматично переходить за вказаним URL, яка веде на проміжний веб-сайт, і той, в залежності від різних параметрів, передає шкідливому додатком кінцевий URL. У більшості випадків цей URL веде на сумнівні веб-портали, основне завдання яких - отримати номер мобільного телефону потенційних жертв і підписати їх на послугу, за використання якої щодня стягуватиметься плата. Серед рекламованих троянцем сервісів може зустрітися, наприклад, пропозиція подивитися матеріали еротичного характеру, а також завантажити популярне ПО, яке насправді є безкоштовним і доступно для завантаження в каталозі Google Play. Незважаючи на те, що інформація про факт підписки і її вартості вказана на завантажуються сторінках, багато користувачів можуть її просто не помітити і вказати свій номер телефону.
Android.Valeriy.1.origin автоматично відкриває у вікні WebView один з таких сайтів і виводить його на екран у вигляді рекламного банера. Одночасно з отриманням відповідного завдання Android.Valeriy.1.origin починає відстежувати всі вхідні СМС. Після того як жертва вказує номер телефону, їй надходить код підтвердження підписки на платний сервіс. Однак Android.Valeriy.1.origin перехоплює і блокує ці повідомлення, тим самим позбавляючи користувача інформації про те, що він погодився з умовами надання дорогої послуги. В результаті з мобільних рахунків жертв, що потрапили на прийом зловмисників і фактично погодилися з умовами надання сервісу, кожен день буде списуватися певна плата.
Троянець може також завантажувати і різні програми, в тому числі шкідливі. Наприклад, серед них вірусні аналітики «Доктор Веб» виявили троянця-завантажувача Android.DownLoader.355.origin. Крім того, в завданні від керуючого сервера Android.Valeriy.1.origin здатний отримувати різні JavaScript-сценарії, які також виконуються через WebView. Цей функціонал може використовуватися для непомітних натискань на інтерактивні елементи, рекламні банери і посилання на завантажуються веб-сторінках. Наприклад, для автоматичного підтвердження введеного користувачем номера телефону, а також з метою накрутки всіляких лічильників.
Для захисту від шахрайських дій з боку зловмисників фахівці компанії «Доктор Веб» радять користувачам Android-смартфонів і планшетів уважно читати інформацію у спливаючих вікнах і повідомленнях, а також рекомендують не вводити номер мобільного телефону в сумнівні екранні форми.
Більшість додатків, що містять троянця Android.Valeriy.1.origin, захищене пакувальником, який ускладнює їх аналіз, однак антивірусні продукти Dr.Web для Android можуть детектувати такі програми як Android.Valeriy.1 або Android.Packed.1. Всі вони успішно виявляються і видаляються з мобільних пристроїв, тому для наших користувачів цей троянець небезпеки не представляє.
Детальніше про троянця
Захистіть ваше Android-пристрій за допомогою Dr.Web
джерело: DrWeb.ru
