Шахрайські Android-застосунки здійснювали покупки без відома власників смартфонів

У фірмовий магазин застосунків Google Play проникла група шахрайських програм. Їх завантажили не менше 700 тис. разів до того, як вони були виявлені, і Google приступила до їхнього видалення, повідомляє thepage.

Шкідливі програми були вбудовані в фоторедактори, шпалери, головоломки та інші застосунки. Вони перехоплювали повідомлення про SMS, а потім здійснювали несанкціоновані покупки.

Щоб пройти перевірку магазину перед розміщенням, зловмисники відправляли «чисту» версію застосунка, а шкідливий код потрапляв до нього через оновлення.

У блозі McAfee розписаний механізм дії шкідливого ПЗ, вбудованого в ці застосунки. Воно використовує динамічне завантаження коду. Зашифровані файли шкідливого ПЗ з’являються в папці ресурсів програми з такими іменами, як cache.bin, settings.bin, data.droid або у вигляді нешкідливих png-файлів.

Після завантаження шкідливі файли автоматично розшифровуються, і схема починає працювати.

Дослідники дійшли висновку, що шахраї могли отримувати відомості про оператора зв’язку користувача, номер телефону, SMS-повідомлення, IP-адресу, країну тощо.

У McAfee рекомендують користувачам звертати особливу увагу на застосунки, які запитують дозволи, пов’язані з SMS і прослуховуванням повідомлень. Справжні додатки для обробки фотографій або установки шпалер просто не запитуватимуть їх, тому що вони не потрібні для їхнього запуску. Якщо запит здається підозрілим, краще не приймати його.