Под кажущимися безобидными приложениями в официальном магазине Google Play часто можно найти всевозможные вредоносные программы. К сожалению, даже если платформа тщательно контролируется, модераторы не всегда могут обнаружить эти приложения до того, как они будут опубликованы. Одной из самых популярных разновидностей этого вида вредоносных программ являются трояны-подписчики, которые подписываются на платные услуги без ведома пользователя. Ранее мы уже
[H2]Подробная информация о троянах Harly[/H2]
С 2020 года в Google Play было обнаружено более 190 приложений, зараженных Harly. По самым скромным подсчетам количество загрузок этих приложений составляет 4,8 миллиона, но фактическая цифра может быть еще выше.
Примеры приложений в Google Play, содержащих вредоносное ПО Harly
Как и троянцы Jocker, троянцы семейства Harly имитируют легитимные приложения. Итак, как это работает? Мошенники загружают обычные приложения из Google Play, вставляют в них вредоносный код, а затем загружают их в Google Play под другим именем. Приложения могут по-прежнему иметь функции, указанные в описании, поэтому пользователи могут даже не подозревать об угрозе.
Дополнительные примеры приложений в Google Play, содержащих вредоносное ПО Harly
Большинство представителей семейства Jocker являются
Отзывы пользователей, жалующихся на списание средств
[H2]Как работает подписчик Harly Trojan[/H2]
Возьмем в качестве примера приложение com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), приложение-фонарик, которое скачали из Google Play более 10 000 раз.
При запуске приложения загружается хитрая библиотека:
Библиотека расшифровывает файл из ресурсов приложения.
Расшифровка файла из ресурсов приложения
Интересно, что создатели вредоносного ПО научились использовать языки
Как и другие подписчики троянцев, Harly собирает информацию об устройстве пользователя, в частности о мобильной сети. Телефон пользователя переключается на мобильную сеть, после чего троянец запрашивает у командного сервера настроить список подписок, на которые необходимо подписаться.
Этот конкретный троянец работает только с тайскими операторами, поэтому сначала он проверяет
Однако в качестве тестовой MNC он использует код China Telecom — 46011. Эта и другие подсказки позволяют предположить, что разработчики вредоносного ПО находятся в Китае.
Троянец открывает адрес подписки в невидимом окне и путем внедрения JS-скриптов вводит номер телефона пользователя, нажимает нужные кнопки и вводит код подтверждения из текстового сообщения. В результате пользователь получает платную подписку, сам того не осознавая.
Еще одной примечательной особенностью этого троянца является то, что он может подписаться не только тогда, когда процесс защищен кодом текстового сообщения, но и когда он защищен телефонным звонком: в этом случае троянец звонит на определенный номер и подтверждает подписку. .
Наши продукты обнаруживают вредоносные приложения, описанные здесь как Trojan.AndroidOS.Harly и Trojan.AndroidOS.Piom.
[H2]Как защититься от троянских подписчиков[/H2]
Официальные магазины приложений ведут постоянную борьбу с распространением вредоносных программ, но, как видим, не всегда успешно. Прежде чем установить приложение, вы должны сначала прочитать отзывы пользователей и проверить его рейтинг в Google Play. Конечно, имейте в виду, что отзывы и рейтинги могут быть
Для просмотра ссылки необходимо нажать
Вход или Регистрация
о наиболее распространенных семействах троянцев этого типа. Здесь мы расскажем вам о другом. Он похож на подписчика Jocker Trojan — поэтому его зовут Harly, имя (слегка измененное)
Для просмотра ссылки необходимо нажать
Вход или Регистрация
известного злодея из комиксов. Два троянца, вероятно, имеют общее происхождение.[H2]Подробная информация о троянах Harly[/H2]
С 2020 года в Google Play было обнаружено более 190 приложений, зараженных Harly. По самым скромным подсчетам количество загрузок этих приложений составляет 4,8 миллиона, но фактическая цифра может быть еще выше.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Примеры приложений в Google Play, содержащих вредоносное ПО Harly
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Дополнительные примеры приложений в Google Play, содержащих вредоносное ПО Harly
Для просмотра ссылки необходимо нажать
Вход или Регистрация
— они получают полезную нагрузку с C&C-серверов мошенников. С другой стороны, трояны семейства Harly содержат всю полезную нагрузку внутри приложения и используют различные методы для ее расшифровки и запуска.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Отзывы пользователей, жалующихся на списание средств
Возьмем в качестве примера приложение com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), приложение-фонарик, которое скачали из Google Play более 10 000 раз.
При запуске приложения загружается хитрая библиотека:
Библиотека расшифровывает файл из ресурсов приложения.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Расшифровка файла из ресурсов приложения
Для просмотра ссылки необходимо нажать
Вход или Регистрация
и
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, но пока их навыки ограничиваются расшифровкой и загрузкой вредоносного
Для просмотра ссылки необходимо нажать
Вход или Регистрация
.Как и другие подписчики троянцев, Harly собирает информацию об устройстве пользователя, в частности о мобильной сети. Телефон пользователя переключается на мобильную сеть, после чего троянец запрашивает у командного сервера настроить список подписок, на которые необходимо подписаться.
Этот конкретный троянец работает только с тайскими операторами, поэтому сначала он проверяет
Для просмотра ссылки необходимо нажать
Вход или Регистрация
(коды мобильных сетей) — уникальные идентификаторы сетевых операторов, чтобы убедиться, что они тайские:Однако в качестве тестовой MNC он использует код China Telecom — 46011. Эта и другие подсказки позволяют предположить, что разработчики вредоносного ПО находятся в Китае.
Троянец открывает адрес подписки в невидимом окне и путем внедрения JS-скриптов вводит номер телефона пользователя, нажимает нужные кнопки и вводит код подтверждения из текстового сообщения. В результате пользователь получает платную подписку, сам того не осознавая.
Еще одной примечательной особенностью этого троянца является то, что он может подписаться не только тогда, когда процесс защищен кодом текстового сообщения, но и когда он защищен телефонным звонком: в этом случае троянец звонит на определенный номер и подтверждает подписку. .
Наши продукты обнаруживают вредоносные приложения, описанные здесь как Trojan.AndroidOS.Harly и Trojan.AndroidOS.Piom.
[H2]Как защититься от троянских подписчиков[/H2]
Официальные магазины приложений ведут постоянную борьбу с распространением вредоносных программ, но, как видим, не всегда успешно. Прежде чем установить приложение, вы должны сначала прочитать отзывы пользователей и проверить его рейтинг в Google Play. Конечно, имейте в виду, что отзывы и рейтинги могут быть
Для просмотра ссылки необходимо нажать
Вход или Регистрация
. Чтобы охватить все ваши базы и не стать жертвой такого рода вредоносных программ, мы рекомендуем вам установить
Для просмотра ссылки необходимо нажать
Вход или Регистрация
.