Россиян атакует троянец, который создаёт фейковые отзывы о приложениях

«Лаборатория Касперского» обнаружила троянца, с помощью которого злоумышленники распространяют многочисленные рекламные объявления и без ведома владельцев устанавливают на их устройства различные приложения, а также оставляют фейковые отзывы в Google Play от их имени.

Чаще всего в декабре 2019 года зловред, получивший название Shopper, атаковал российских пользователей. Их доля составила 31%. На втором месте оказалась Бразилия с 18% заражённых пользователей, а на третьем — Индия с 13%.

Троянец эксплуатирует службу поддержки специальных возможностей Google Accessibility Service, созданную с целью облегчить использование приложений людям с ограниченными возможностями. Сервис, например, позволяет озвучивать текст в интерфейсе приложений, чтобы люди, которые не могут читать, могли слышать их содержимое. Однако злоумышленники используют его возможности для взаимодействия с интерфейсом системы и приложениями. Shopper может перехватывать данные, появляющиеся на экране, нажимать кнопки и даже имитировать жесты пользователя.

Эксперты «Лаборатории Касперского» предполагают, что троянец может попадать на устройство из мошеннических рекламных объявлений или из сторонних магазинов приложений при попытке скачать якобы легитимную программу. Вредонос притворяется системным ПО, например сервисами для очистки и ускорения работы смартфона, и маскируется под приложение с названием ConfigAPKs. Троянец собирает информацию об устройстве жертвы и отправляет её на серверы злоумышленников, а затем получает команды, в результате исполнения которых возможна реализация следующих сценариев:

  • Google- или Facebook-аккаунты владельца устройства могут быть использованы без его ведома для регистрации в приложениях для шопинга или развлечения;
  • могут быть созданы фейковые отзывы на приложения;
  • может быть выключена функция Google Play Protect, которая проверяет на безопасность приложения из магазина Google Play до начала загрузки;
  • могут быть открыты ссылки, полученные от удалённого сервера в невидимом окне;
  • могут выскакивать многочисленные окошки с рекламой и создаваться ярлыки для рекламных приложений в меню приложений;
  • без ведома владельца из Google Play могут быть скачаны и установлены приложения;
  • ярлыки установленных приложений могут быть изменены на ярлыки рекламных страниц.

 

«Сейчас Shopper в основном нацелен на онлайн-магазины, а его действие ограничивается распространением рекламы, созданием фейковых отзывов и подтасовыванием рейтингов, но нет гарантий, что его авторы остановятся на этом и не будут модифицировать зловред, добавляя в него новые функции. В любом случае, мы рекомендуем пользователям внимательно относиться к тому, из каких ресурсов они скачивают приложения и, по возможности, установить на смартфон защитное решение, чтобы минимизировать риски заражения», — отметил Игорь Головин, антивирусный эксперт «Лаборатории Касперского».

Продукты «Лаборатории Касперского» блокируют это вредоносное ПО.

Чтобы снизить риск заражения подобными угрозами, пользователям рекомендуется:

  • внимательно проверять те программы, которые просят доступ к сервису Google Accessibility Service;
  • не скачивать приложения из сторонних источников, даже если они активно рекламируются;
  • использовать надёжное мобильное защитное решение, которое умеет распознавать потенциально опасные или сомнительные запросы от приложений и объяснять риски, связанные с разными типами разрешений, например Kaspersky Security Cloud.

10 января, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.07.2026
Утечка данных из Telega «технически невозможна»
03.07.2026
В России появился антимошеннический оперштаб
03.07.2026
«Лаборатории разрабатывают технологию, но правила должны устанавливать граждане»
03.07.2026
Банки скоро предложат депозиты и кредиты в цифровых рублях?
03.07.2026
Microsoft ускоряет внедрение технологии Quantum-Safe
03.07.2026
Fable 5 и Mythos 5 возвращаются с новыми механизмами безопасности
02.07.2026
В США объявили войну пиратским сайтам, транслирующим футбол
02.07.2026
Инцидент с сервисом 1-800-Dentist грозит масштабной утечкой
02.07.2026
Компания JoyMoney выбрала MaxPatrol SIEM ядром своего SOC
02.07.2026
«К2Тех»: Нового оборудования нет — рынок заполнен б/у-железом

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных