Специалисты компании «Доктор Веб» обнаружили в каталоге приложений Google Play без малого 130 троянов семейства Android.Click. В основном такая малварь выдает себя за различные популярные приложения и незаметно подписывает пользователя на платные услуги.
Одну из обнаруженных вредоносных программ, получившую идентификатор Android.Click.265.origin, злоумышленники используют для подписки пользователей на дорогостоящие мобильные услуги. Троян маскируется под официальное приложение для работы с онлайн-магазином торговой сети «Эльдорадо». Исследователи обнаружили два случая проникновения трояна в Google Play, в настоящее время обе его модификации были удалены из каталога.
Интересно, что малварь действительно выполняла заявленные функции: троян загружал в своем окне мобильную версию магазина «Эльдорадо» и позволял полноценно с ним работать. Но помимо этого он выполнял и менее желательные действия. Так, троянец показывал пользователям надоедливую рекламу и открывал страницы сервисов дорогостоящих мобильных услуг, а затем автоматически нажимал на кнопку подтверждения подписки. После этого с мобильного счета жертвы каждый день списывалась определенная сумма.
Еще один троян, принадлежащий к данному семейству — Android.Click.248.origin. Он так же используется для подписания жертв на премиум-услуги. Эта вредоносная программа, известна специалистам «Доктор Веб» с апреля текущего года, но в августе она вновь распространялась через Google Play. Как и ранее, вирусописатели выдавали трояна за известные приложение, например, за клиентское приложение интернет-доски объявлений «Юла», онлайн-магазин AliExpress, а также за голосовой помощник Алиса компании Яндекс.
Заразив устройство, этот троян открывает один из фишинговых сайтов, на котором пользователю предлагают скачать ту или иную известную программу, либо сообщают о выигрыше ценного приза. У потенциальной жертвы мошенничества запрашивают номер мобильного телефона, якобы необходимый для получения проверочного кода. На самом деле этот код нужен для подтверждения подписки на платную услугу, за использование которой каждый день будет взиматься плата.
Если же зараженное устройство подключено к интернету через мобильное соединение, то после ввода номера телефона на таком сайте владелец Android-устройства подписывается на премиум-услугу автоматически.
Специалисты «Доктор Веб» пишут, что среди обнаруженной в августе малвари, которая распространялась через каталог Google Play, было множество других модификаций семейства Android.Click. Так, представители этого семейства выдавались за официальные программы различных букмекерских контор, таких как «Олимп», «Мостбет», «Фонбет», «Лига ставок», 1xBet, Winline и других.
После запуска эти троянцы соединяются с управляющим сервером и получают от него команду на загрузку того или иного сайта, который и демонстрируется пользователю. В настоящее время трояны открывают официальные страницы букмекерских фирм, при этом название вредоносного приложения никак не влияет на загружаемый сайт. Однако эксперты предупреждают, что управляющий сервер в любой момент может дать троянам команду на загрузку произвольного веб-ресурса, в том числе мошеннического или вредоносного, с которого на Android-устройство могут загружаться другие вредоносные программы. Именно поэтому такие трояны представляют серьезную опасность.
В общей сложности специалисты «Доктор Веб» выявили 127 таких вредоносных приложений, которые распространяли 44 разработчика. Компания Google оперативно удаляет эти приложения из Google Play, однако предприимчивые мошенники продолжают добавлять их в каталог почти каждый день.
