ИБ-исследователи из известной румынской компании Bitdefender, специализирующейся на антивирусах, обнаружили в ряде Android-приложений, распространяемых через интернет-магазин Google Play, вредоносный код. Вирус под названием Android.Trojan.MKero.A известен экспертам еще с 2014 года, когда он поразил страны Восточной Европы, включая и Россию. Но тогда он распространялся через социальные сети и сторонние, неофициальные магазины приложений. А вот появление этого вируса с аттестационным «иммунитетом» на Google Play стало для специалистов компании Bitdefender большой неожиданностью. Оказывается, хакерские вирусописатели нашли способ упаковать троянец так, что он получил «иммунитет» при прохождении системы проверки на угрозы Google Bouncer.
На инфицированном устройстве вредонос себя никак не проявляет. Правда, инфицированные приложения зачастую делают нетипичные запросы, например, — требуют права на редактирование SMS или MMS, или — изменение системных настроек или сетевой конфигурации, включение автозагрузки при старте и т.д. Эти «причуды» не столь опасны, как то, что делается в скрытом режиме.
А это-то и есть главная особенность данного троянца. Он на «заднем плане» активно ведет подписную кампанию на различные платные сервисы, списки которых — также без огласки —подкачивается из интернета. Естественно, при оформлении подписок, с сервисов поступает запрос на прохождение процедуры подтверждения коммуникации с реальным пользователем с помощью онлайн-утилиты CAPTCHA. Механизм преодоления такой проверки троянца следующий. Он оперативно пересылает скриншот с символами на специальный online-сервис Antigate.com, где происходить конвертиртация полученного изображения в шрифтовой формат и последующий возврат полноценного символьного кода подтверждения отправителю, а тот вводит их в систему, и тем самым подтверждает легитимность всей операции…
Примечательно, что троянец Android.Trojan.MKero.A получает от внешней C&C-инфраструктуры вместе с настройками конфигурации также и список приложений на платную подписку, которые используют 29 случайно сгенерированных имен C&C-серверов, автоматически переключали в случае возникновения проблем на другие серверы. Процедура распознавания и конвертации картинок в символы на указанном ресурсе весьма маленькая — порядка $0,7 за 1000 изображений — в зависимости от объема, что с лихвой восполняется «наваром» от операций с подпиской на «дружественные» сервисы. По расчетам аналитиков, такая несанкционированная подписка — по самым скромным расчетам — уже нанесла пользователям ущерб в размере $250 000. И только проведенная Google проверка Google Play позволила блокировать вредонос и остановить процесс ширящегося заражения, которым к середине сентября было охвачено до полумиллиона пользовательских устройств.
