Xakep #305. Многошаговые SQL-инъекции
Пользователи Reddit обнаружили в официальном каталоге Google Play поддельную версию мессенджера WhatsApp, которую загрузили более 1 млн раз.
Внешне фальшивка мало отличалась от настоящей версии мессенджера для Android и называлась Update WhatsApp Messenger. При этом, как можно заметить на скриншотах ниже, авторы фальшивки выдавали себя за разработчиков WhatsApp Inc. Добиться этого им удалось при помощи простейшего трюка: злоумышленники использовали юникод, то есть на самом деле имя разработчика приложения выглядело как WhatsApp+Inc%C2%A0, но невидимый пробел на конце не был виден пользователям.
Пользователи Reddit изучили поддельное приложение и пришли к выводу, что фальшивка не запрашивала много разрешений (только доступ к интернету) и, по сути, использовалась как рекламная «обертка», загружающая дополнительный APK (whatsapp.apk). При этом приложение старалось «спрятаться» от пользователя после установки, имело пустую иконку и не имело никакого названия.
В настоящее время подделка уже удалена из Google Play, а ИБ-специалисты отмечают, что это далеко не уникальный и не единичный случай. К примеру, еще в октябре 2017 года сотрудник Avast Николаос Крисайдос (Nikolaos Chrysaidos) писал в своем твиттере, что ему удалось обнаружить в топе Play Store поддельный Facebook Messenger, загруженный более 10 млн раз. Кроме того, Крисайдос обращал внимание на многочисленные клоны WhatsApp, которые можно найти в официальном каталоге.
You can even be a copy-cat developer of @WhatsApp in @GooglePlay Store #GooglePlay #Fake pic.twitter.com/nvWf6D93SW
— Nikolaos Chrysaidos (@virqdroid) October 11, 2017
How easily can you get to the top ranks of #PlayStore being a copycat? #Messenger #Scam w/ 10M+ installations, plus fake reviews. pic.twitter.com/Dy3zOIxLgx
— Nikolaos Chrysaidos (@virqdroid) October 5, 2017