Исследователи безопасности из компании Check Point обнаружили новое вредоносное ПО, получившее название ExpensiveWall, которое отправляет SMS-сообщения и снимает деньги со счета пользователя без его ведома для оплаты доступа к премиум-сервисам на мошеннических сайтах.
По словам исследователей, вредонос содержался в приложении Lovely Wallpaper и ряде других, которые были загружены порядка 4,2 млн раз. В общей сложности Google удалила из Google Play Store порядка 50 инфицированных приложений.
ExpensiveWall - новая версия вредоносного ПО, впервые обнаруженного в Google Play в начале текущего года. За это время различные версии вредоноса были загружены порядка 5,9 млн - 21,1 млн раз. Основное отличие ExpensiveWall от остальных версий заключается в использовании усовершенствованной техники обфускации вредоносного кода, позволяющей обойти защиту Google Play. При использовании данной техники вредоносный код сжимается и шифруется для уклонения от обнаружения.
В начале августа Google удалила инфицированные приложения, однако позднее в Google Play появилось новое зараженное приложение, которое было скачано еще 5 тыс. раз. По словам исследователей, объем дохода, полученного злоумышленниками в рамках мошеннической схемы, неизвестен.
После установки зараженное приложение запрашивает несколько разрешений, включая доступ в Интернет (для связи с C&C-сервером) и разрешение на отправку SMS-сообщений (для регистрации пользователей на мошеннических сайтах). ExpensiveWall содержит интерфейс, который синхронизирует действия в приложении с кодом JavaScript, работающем в web-интерфейсе WebView. После установки и получения необходимых разрешений ExpensiveWall отправляет данные о зараженном устройстве на C&C-сервер, включая информацию о его местоположении и уникальных идентификаторах, таких как MAC- и IP-адреса, IMSI и IMEI.
Когда пользователь включает Android-устройство или изменяет параметры подключения, вредоносное ПО подключается к серверу и получает ссылку, открывающуюся во встроенном WebView. Данная страница содержит вредоносный код JavaScript, запускающий функции внутри приложения, используя Javascript Interface, пояснили исследователи. Вредоносное ПО использует номер телефона пользователя для подписки на различные платные сервисы.
В настоящее время ExpensiveWall используется исключительно для получения прибыли, однако он может быть модифицирован для захвата скриншотов, записи аудио, хищения конфиденциальных данных и пр. Поскольку вредоносное ПО действует незаметно, оно может использоваться как инструмент для шпионажа, предупреждают исследователи.
Скачайте SafeUM — общайтесь приватно, без рекламы и спама.
