Эксперты «Лаборатории Касперсого» обнаружили Android-трояна Shopper. При помощи этой малвари злоумышленники распространяют многочисленные рекламные объявления и без ведома владельцев устанавливают на устройства различные приложения, а также оставляют фейковые отзывы в Google Play от их имени.
Чаще всего в декабре 2019 года вредонос атаковал российских пользователей. Их доля составила 31%. На втором месте оказалась Бразилия с 18% зараженных пользователей, а на третьем — Индия с 13%.
Троян эксплуатирует службу поддержки специальных возможностей Google Accessibility Service, созданную с целью облегчить использование приложений людям с ограниченными возможностями. Злоумышленники используют его возможности для взаимодействия с интерфейсом системы и приложениями. Так, Shopper может перехватывать данные, появляющиеся на экране, нажимать кнопки и даже имитировать жесты пользователя.
Исследователи полагают, что троян может попадать на устройство через мошеннические рекламные объявления или из сторонних магазинов приложений, когда пользователь пытается скачать якобы легитимную программу.
Вредонос притворяется системным ПО, например, сервисами для очистки и ускорения работы смартфона, и маскируется под приложение с названием ConfigAPKs. Троян собирает информацию об устройстве жертвы, отправляет ее на серверы злоумышленников, а затем получает команды, в результате исполнения которых возможна реализация следующих сценариев:
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Чаще всего в декабре 2019 года вредонос атаковал российских пользователей. Их доля составила 31%. На втором месте оказалась Бразилия с 18% зараженных пользователей, а на третьем — Индия с 13%.
Троян эксплуатирует службу поддержки специальных возможностей Google Accessibility Service, созданную с целью облегчить использование приложений людям с ограниченными возможностями. Злоумышленники используют его возможности для взаимодействия с интерфейсом системы и приложениями. Так, Shopper может перехватывать данные, появляющиеся на экране, нажимать кнопки и даже имитировать жесты пользователя.
Исследователи полагают, что троян может попадать на устройство через мошеннические рекламные объявления или из сторонних магазинов приложений, когда пользователь пытается скачать якобы легитимную программу.
Вредонос притворяется системным ПО, например, сервисами для очистки и ускорения работы смартфона, и маскируется под приложение с названием ConfigAPKs. Троян собирает информацию об устройстве жертвы, отправляет ее на серверы злоумышленников, а затем получает команды, в результате исполнения которых возможна реализация следующих сценариев:
- Google- или Facebook-аккаунты владельца устройства могут быть использованы без его ведома для регистрации в приложениях для шопинга или развлечения;
- могут быть созданы фейковые отзывы на приложения;
- может быть выключена функция Google Play Protect, которая проверяет на безопасность приложения из магазина Google Play до начала загрузки;
- могут быть открыты ссылки, полученные от удаленного сервера в невидимом окне;
- могут появляться многочисленные окна с рекламой и создаваться ярлыки для рекламных приложений в меню приложений;
- без ведома владельца из Google Play могут быть скачаны и установлены приложения;
- ярлыки установленных приложений могут быть изменены на ярлыки рекламных страниц.