Исследователь из ESET обнаружил на Google Play более 30 вредоносных приложений, замаскированных под чит-код или трейнер для популярных онлайн-игр Minecraft.
При запуске эти зловреды действуют аналогично фальшивым антивирусам: показывают список угроз, якобы найденных на устройстве, и вымогают деньги за очистку.
«Все обнаруженные приложения фиктивные, они не содержат заявленных функций и лишь отображают баннеры, пытаясь убедить пользователя в том, что его Android система заражена «опасным вирусом», — комментирует Лукас Стефанко (Lukas Stefanko). — Чтобы избавиться от «вирусов», пользователю предлагают оформить подписку на платные SMS, которая будет обходиться в 4,8 евро в неделю». По словам исследователя, любое взаимодействие пользователя с вредоносным приложением вызывает окно с ложным сообщением о заражении и предложением активировать панацею.
При клике на это окно открывается еще ряд сайтов с новыми предупреждениями о несметных угрозах. Тем временем защита данных становится уязвимой, а зловред создает SMS-заявку на «антивирус» с помощью штатной (дефолтной) утилиты, но сам отослать ее не может, поэтому ему приходится прибегать к социальной инженерии, чтобы вынудить пользователя согласиться на подписку. В итоге вместо обещанной защиты жертва получит регулярный поток ненужных SMS, за которые придется платить.
По оценке Стефанко, 33 поддельных приложения, выложенных на Google Play в течение девяти месяцев, установили от 660 тыс. до 2,8 млн пользователей, причем некоторые фальшивые антивирусы были скачаны 100–500 тыс. раз. Как показал анализ, все они работают одинаково и различаются лишь именами и иконками, позаимствованными у автора Minecraft, компании Mojang (ныне собственность Microsoft). Примечательно, что, отображая защищенные сообщения о фиктивных угрозах, эти зловреды используют геопривязку и выбирают язык в зависимости от местонахождения жертвы.
По данным ESET, за три года со времени запуска Bouncer, антивирусного сервиса Google Play, количество вредоносных приложений в этом онлайн-магазине сократилось на 40%, хотя вначале многие сомневались в эффективности этой меры. С начала текущего года Google стала в обязательном порядке дополнять автоматизированную проверку ручной.
Тем не менее время от времени компании приходится удалять зловредов из своего магазина постфактум, и ее реакция на сообщения о таких находках обычно бывает незамедлительной. Отклик Google был скорым и на этот раз: фальшивые приложения уже изъяты из обращения. Во избежание неприятностей ESET рекомендует пользователям Android не жалеть времени на чтение отзывов до загрузки новых приложений (а жалобы в данном случае посыпались с момента первых проб) и внимательно следить, какие разрешения требуют программы при установке.
