Специалисты Group-IB, «Лаборатории Касперского» и Dr. Web обнаружили на Android несколько новых троянов, которые тайком скачивают другие приложения и выводят деньги с банковского и телефонного счёта.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Компания Group-IB нашла троян, который распространяется с приложениями, требующими доступ к SMS и MMS. Он работает следующим образом: пользователь получает SMS-сообщение со ссылкой (чаще всего якобы на фотографию от знакомого), а при переходе по этой ссылке открывается страница с кнопкой «Посмотреть». Если нажать на кнопку, скачается вредоносный файл.



Злоумышленники рассчитывают на то, что в результате массовой рассылки SMS-спама какая-то часть пользователей не будет вникать в то, что им подсовывают, и установят вирус на свои устройства. Этот вирус подменяет собой стандартное приложение для работы с SMS, определяет, каким банком пользуется жертва, и начинает тайную рассылку и приём сообщений от банковского кабинета. Под угрозой находятся все пользователи онлайн-банкинга, работающего с SMS-командами.

«Лаборатория Касперского» рассказала о трояне Xafekope, который атакует Россию и Индию. Он незаметно подписывает пользователя на платные услуги, опустошая счёт мобильного телефона. Вирус работает в фоновом режиме — запускает в браузере сайты с подписками, обходит капчи и тесты на распознавание ботов, благодаря чему подтверждает подписки на платные сервисы сотовых операторов. Основной источник распространения Xafekope — подделки, замаскированные под популярные приложения и игры. Они встречаются как в сторонних маркетах, так и в Google Play.

Компания Dr. Web обнаружила в Google Play игру BlazBlue RR — Real Action Game со встроенным трояном. В общей сложности её установило более миллиона человек. Содержащийся в ней троян Android.DownLoader.558.origin является частью специализированного SDK-комплекта Excelliance, который используется для упрощения установки обновлений. Этот инструмент позволяет скачивать компоненты отдельно без повторной установки всего приложения. Зловред может использоваться для тайного скачивания вредоносного кода в обход антивируса, встроенного в Google Play и Android.



Троян включается при первом запуске игры и в дальнейшем самостоятельно загружается в память при каждом подключении устройства к интернету, даже если пользователь больше не запускает игру. Он соединяется с управляющим сервером и получает от него команды на скачивание различных компонентов приложений, запуск которых может производиться без ведома пользователя. Таким образом злоумышленники могу распространять рекламные модули, банковские программы и безвредные приложения, за установку которых они получают деньги от разработчиков.

Как обезопасить себя от троянов?

— Избегайте установки APK-файлов.
— При установке приложений и игр из Google Play обращайте внимание на отзывы пользователей и рейтинг.
— Следите за тем, какие разрешения требует приложение. Не разрешайте доступ к SMS, если не хотите, чтобы приложение рассылало сообщения и читало переписку.

Что делать, если ваш смартфон всё же подхватил вирус, читайте на нашем сайте в этой статье.