Android

Мессенджер Telegram изначально создавался с открытым исходным кодом. С одной стороны, это обеспечивает его полную безопасность и прозрачность, а с другой — позволяет злоумышленникам создавать на его основе вредоносные приложения.

В Play Маркете было обнаружено несколько неофициальных клиентов Telegram, заражённых вирусом Android.Fakeyouwon, который исполняет на пользовательских устройствах вредоносный код, получаемый с удалённых серверов. Одно из таких приложений — MobonoGram — нацелено на пользователей из Ирана и России. В этих странах Telegram заблокирован, а в описании MobonoGram указано, что приложение успешно обходит блокировку без использования каких-либо дополнительных настроек или инструментов вроде VPN.

MobonoGram

MobonoGram действительно содержит базовую функциональность Telegram, но вместе с этим запускает в фоновом режиме несколько сервисов, которые живут своей жизнью — например, тайно посещают сайты и эмулируют клики на рекламные баннеры, принося нечестный заработок их владельцам.

При первом запуске MobonoGram добавляет себя в автозапуск системы, что позволяет ему постоянно работать в фоновом режиме даже после перезагрузке системы. Если пользователь принудительно останавливает приложение, через какое-то время его сервисы автоматически перезапускаются.

Деятельность вируса Android.Fakeyouwon незаметна пользователю, но её последствия ощутимы: смартфон перегревается, увеличивается расход аккумулятора, трафик заканчивается быстрее, производительность устройства снижается.

С помощью JavaScript-кода вирус также может переадресовывать пользователя на сайты с мошенническими объявлениями о выигрыше. Цель такой атаки — завладеть личными и платёжными данными и украсть деньги с банковской карты.

MobonoGram

MobonoGram был скачан из Play Маркета по меньшей мере 100 000 раз, а разработчик — RamKal Developers — как минимум пять раз успешно обновлял приложение, добавляя в него усовершенствованный вредоносный код. MobonoGram был удалён, после чего разработчик выложил тот же самый мессенджер под другим названием — Whatsgram, но его тоже удалили. Впрочем, не исключено, что в магазине содержатся другие приложения с тем же вирусом.



iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru



Источник:

Symantec Symantec