Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play вредоносные копии ряда известных приложений. По команде злоумышленников эти подделки способны загружать и показывать любые веб-страницы, что может быть использовано для проведения фишинговых атак.
Выявленные программы имитируют различные популярные приложения и даже имеют схожие с оригиналами иконки. Аналитики пишут об обнаружении копий следующих приложений: «Qiwi Кошелек», «Сбербанк Онлайн», «Одноклассники», «ВКонтакте» и «НТВ». Ниже можно увидеть, как мошенники обманывают потенциальных жертв. На иллюстрации слева показана страница приложения-имитатора, которую можно легко найти в каталоге Google Play. Справа – страница подлинного ПО.
Исследователи рассказывают, что при каждом запуске приложения-подделки соединяются с управляющим сервером, который в ответ либо отправляет параметр none, либо передает малвари заданную злоумышленниками ссылку.
При получении первого параметра приложения извлекают из своих ресурсов несколько изображений и показывают их пользователям. В этом и заключается вся их «полезная» функциональность. Если же в ответе от управляющего сервера поступает ссылка на веб-страницу, приложения загружают и отображают ее.
Открытие страницы выполняется с использованием WebView непосредственно в самих приложениях, где ссылка на целевой адрес не видна. При этом содержимое страниц может быть абсолютно любым. В частности, это могут быть поддельные формы входа в учетную запись онлайн-банкинга или социальных сетей. В результате владельцы Android-устройство рискуют стать жертвами фишинговых атак. Кроме того, во время работы вредоносных приложений пользователю постоянно показывают рекламу. В классификации «Доктор Веб» вредонос получил идентификатор Android.Click.415 .
Но помимо вышеописанной малвари, специалисты также обнаружили более 70 аналогичных приложений, которые в общей сложности загрузили свыше 270 000 пользователей. Среди этих приложений были поддельные игры, сборники рецептов и пособия по вязанию, причем некоторые из них действительно обладают заявленными функциями.
Равно как и Android.Click.415, эти вредоносы могут получать от управляющего сервера любые ссылки, которые затем загрузят и продемонстрируют пользователям. Малварь получила идентификаторы Android.Click.416 и Android.Click.417.
Сообщается, что вредоносные подделки распространяли как минимум четыре разработчика: Tezov apps, Aydarapps, Chmstudio и SVNGames. Специалисты «Доктор Веб» оповестили представителей Google обо всех найденных вредоносах, однако на момент публикации этой новости они все еще были доступны для загрузки.