Мобильные трояны со встроенной подпиской
Эти истории слышали все: купил телефон, вроде бы ничего такого не делал, пока не обнаружил отсутствие денег на счету. Одной из причин внезапного добавления платных услуг на мобильном телефоне может быть вредоносное ПО. На прошлой неделе специалисты «Лаборатории Касперского» опубликовали обзор технических приемов в свежих вредоносных программах такого типа. Их можно называть троянами-подписчиками: звучит слегка неуклюже, зато точно передает суть.
На скриншоте выше показаны три примера приложений с вредоносной добавкой, которые какое-то время висели в официальном магазине приложений Google Play. Во всех присутствовал троян семейства Jocker. Так как в данном случае стоит задача прорваться сквозь проверки в аппстор, первоначальная версия приложения не содержит вредоносного кода. После установки активируется загрузчик, подгружающий «дополнительную функциональность», но и он срабатывает после простой проверки: опубликовано ли приложение в магазине? Если нет, программа считает, что выполняется в сендбоксе проверяющего и скрывает вредоносную функциональность.
Процесс загрузки тоже слегка усложнен: истинная вредоносная программа зачастую содержится только в четвертом загружаемом файле. Далее с сервера управления загружается ссылка на страницу с подпиской на платную услугу (своя для каждого региона, в котором расположена жертва). Страница открывается в невидимом для пользователя окне. Если для подписки требуется ввести код подтверждения, присланный в SMS, Jocker перехватывает этот код, причем для этого ему даже не требуется доступ к текстовым сообщениям: код считывается из нотификаций. За первый квартал этого года Jocker чаще всего обнаруживался у пользователей в Саудовской Аравии, Германии и Польше.
В случае с Jocker приложения чаще всего выполняют обещанное — если заявлена возможность сканирования и распознавания документов, то она есть. Для попадания в Google Play злоумышленники часто крадут простые утилиты, добавляют к ним вредоносный код и подают множество заявок на публикацию, в надежде, что хотя бы часть пройдет проверку. А вот семейство троянов Grifthorse.ae представляет собой противоположный случай: эти приложения вообще ничего полезного не делают. Более того, они представляют собой пример самого примитивного вредоносного ПО: при запуске у пользователя просят ввести номер телефона и подписывают пользователя на платную услугу, где кроме номера больше ничего и не требуется.
Чуть более сложный сценарий реализует семейство GriftHorse.l. В одном из вариантов вредоносная программа прикидывается приложением для похудения (и под такой личиной проникает в Google Play). После прохождения банального опросника вам предлагают ввести данные кредитной карты для получения «индивидуального плана». Вместо одноразового платежа оформляется регулярная подписка, отменить которую в приложении нельзя. Более того, в отзывах к приложению пользователи жаловались, что и план похудения не приходит! Таким образом, GriftHorse.l уходит от традиционной схемы, завязанной на платные мобильные услуги.
Троян Vesub не пытается проникнуть в Google Play, вместо этого рассчитывая на желающих загрузить ценное ПО из сторонних источников. В данном случае, естественно, никакой функциональности, кроме оформления платных подписок, у приложения не наблюдается.
Наконец, исследователи упоминают троян MobOk, который часто распространяется вместе с другим вредоносным ПО — Triada. Последнее известно тем, что иногда встречается в предустановленных (часто — системных и неудаляемых) приложениях на смартфонах третьего эшелона. То есть телефон имеет вредоносную функциональность из коробки. Как и Jocker, MobOk подписывает пользователя на платную услугу в невидимом окне, перехватывает код подтверждения из уведомлений. Помимо этого, он также содержит функциональность для распознавания капчи. Чаще всего за первые три месяца 2022 года MobOk атаковал пользователей России, Индии и Индонезии и в целом был наиболее часто детектируемым вредоносным приложениям с «подписной» функциональностью.