Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play вредоносные копии ряда известных приложений. По команде злоумышленников эти подделки способны загружать и показывать любые веб-страницы, что может быть использовано для проведения фишинговых атак.

Выявленные программы имитируют различные популярные приложения и даже имеют схожие с оригиналами иконки. Аналитики пишут об обнаружении копий следующих приложений: «Qiwi Кошелек», «Сбербанк Онлайн», «Одноклассники», «ВКонтакте» и «НТВ». Ниже можно увидеть, как мошенники обманывают потенциальных жертв. На иллюстрации слева показана страница приложения-имитатора, которую можно легко найти в каталоге Google Play. Справа – страница подлинного ПО.

Исследователи рассказывают, что при каждом запуске приложения-подделки соединяются с управляющим сервером, который в ответ либо отправляет параметр none, либо передает малвари заданную злоумышленниками ссылку.

При получении первого параметра приложения извлекают из своих ресурсов несколько изображений и показывают их пользователям. В этом и заключается вся их «полезная» функциональность. Если же в ответе от управляющего сервера поступает ссылка на веб-страницу, приложения загружают и отображают ее.

Открытие страницы выполняется с использованием WebView непосредственно в самих приложениях, где ссылка на целевой адрес не видна. При этом содержимое страниц может быть абсолютно любым. В частности, это могут быть поддельные формы входа в учетную запись онлайн-банкинга или социальных сетей. В результате владельцы Android-устройство рискуют стать жертвами фишинговых атак. Кроме того, во время работы вредоносных приложений пользователю постоянно показывают рекламу. В классификации «Доктор Веб» вредонос получил идентификатор Android.Click.415 .

Но помимо вышеописанной малвари, специалисты также обнаружили более 70 аналогичных приложений, которые в общей сложности загрузили свыше 270 000 пользователей. Среди этих приложений были поддельные игры, сборники рецептов и пособия по вязанию, причем некоторые из них действительно обладают заявленными функциями.

Равно как и Android.Click.415, эти вредоносы могут получать от управляющего сервера любые ссылки, которые затем загрузят и продемонстрируют пользователям. Малварь получила идентификаторы Android.Click.416 и Android.Click.417.

Сообщается, что вредоносные подделки распространяли как минимум четыре разработчика: Tezov apps, Aydarapps, Chmstudio и SVNGames. Специалисты «Доктор Веб» оповестили представителей Google обо всех найденных вредоносах, однако на момент публикации этой новости они все еще были доступны для загрузки.

4 комментария

  1. Skybad

    14.03.2018 at 14:47

    интересно как проходит валидация по безопасности в гугл плей? почему компания не заинтересована только в проверенном софте?

    • vlad360

      15.03.2018 at 15:01

      Кажется по каким-то статическим фильтрам, им то денежка то за приложение капает по 25 вечнозеленых кажется

  2. Kadist

    16.03.2018 at 18:26

    Давайте скинемся гуглу денюшкой! А он вычистить маркет от копий

  3. john_

    17.03.2018 at 12:23

    В AppStore такого нет. Вы не найдёте даже форков.

Оставить мнение