В Google Play нашли приложения, которые воруют деньги пользователей
Большинство пользователей Android-смартфонов (кроме обладателей новый смартфонов Huawei) вынуждены пользоваться маркетом приложений Google Play Store для того, чтобы скачать себе приложение. Однако в данном маркете есть приложения, которые несут угрозу.
Исследователи безопасности Сан Риол Рю и Чанунг Пак обнаружили ряд приложений Google Play, которые крадут SMS-сообщения и совершают несанкционированные покупки за счет пользователей. Об этом сообщает Информатор Tech, ссылаясь на McAfee.
Представляя себя фоторедакторами, обоями, головоломками, оболочками клавиатуры и другими приложениями, связанными с камерой, вредоносные программы, встроенные в эти мошеннические приложения, перехватывают уведомления о SMS-сообщениях, а затем совершают несанкционированные покупки. В то время как приложения проходят процесс проверки, чтобы убедиться, что они являются законными, эти мошеннические приложения попали в магазин, отправив чистую версию приложения на проверку, а затем представив вредоносный код через обновления приложения позже.
Что касается деталей, то вредоносное ПО, встроенное в эти приложения, использует динамическую загрузку кода. Зашифрованные полезные данные вредоносного ПО появляются в папке ресурсов, связанной с приложением, с такими именами, как «cache.bin», «settings.bin», «data.droid» или, казалось бы, безобидными файлами «.png». Во-первых, скрытый вредоносный код в основном.apk открывает файл «1.png» в папке с ресурсами, расшифровывает его в «loader.dex», а затем загружает сброшенный.dex. «1.png» зашифрован с использованием RC4 с именем пакета в качестве ключа. Первая полезная нагрузка создает запрос HTTP POST к серверу C2. Интересно, что эта вредоносная программа использует серверы управления ключами. Он запрашивает у серверов ключи для второй полезной нагрузки, зашифрованной AES, «2.png». И сервер возвращает ключ как значение «s» JSON. Также у этой вредоносной программы есть функция самообновления. Когда сервер отвечает значением «URL», содержимое URL используется вместо «2.png». Однако серверы не всегда отвечают на запрос или возвращают секретный ключ.
Как всегда, самые вредоносные функции проявляются на финальной стадии. Вредоносная программа захватывает прослушиватель уведомлений для кражи входящих SMS-сообщений, как это делает вредоносная программа Android Joker, без разрешения на чтение SMS. Подобно цепной системе, вредоносная программа затем передает объект уведомления на финальную стадию. Когда уведомление приходит из пакета SMS по умолчанию, сообщение, наконец, отправляется с использованием интерфейса JavaScript WebView. В результате дополнительного исследования серверов C2 обнаружили данные, включая оператора связи, номер телефона, SMS-сообщение, IP-адрес, страну, статус сети и т. Д., А также автоматически возобновляемые подписки.