Специалисты «Доктор Веб» обнаружили, что на YouTube появляются ролики, в которых рассказывается о появлении мобильной версии игры Valorant (и потенциальным жертвам предлагают ее установить). Под видом этой игры на Android-устройства попадает троян, с помощью которого хакеры зарабатывают на участии в партнерских программах.
Те, кто следит за игровыми новостями, знают, что Valorant по-прежнему находится в разработке и пока доступна лишь в рамках бета-теста (и только для компьютеров под управлением ОС Windows). Однако мошеннические ролики смонтированы таким образом, что процесс игры на экране мобильного устройства выглядит правдоподобно.
Для большей убедительности такие видео сопровождаются подробным описанием, а также множеством комментариев пользователей, которые якобы успешно установили игру на свои мобильные устройства. Все эти отзывы, разумеется, являются фальшивыми.
Для загрузки игры пользователям предлагают посетить сайт, внешне похожий на официальный сайт проекта Valorant. На этом ресурсе размещены две ссылки, по которым на мобильное устройство якобы можно загрузить игру.
Если посетитель сайта попытается загрузить игру для устройства под управлением iOS, его перенаправят на сайт партнерской программы. Если же попытка скачивания происходит с Android-устройства, на него загружается APK-файл с трояном Android.FakeApp.176. Поскольку этот файл загружается не из официального каталога Google Play, на большинстве современных устройств для его установки потребуется изменить соответствующие настройки системы безопасности.
Вредоносное приложение имитирует процесс запуска игры, однако затем предлагает «разблокировать» ее, выполнив идентификацию устройства. Для этого от пользователя требуется скачать и установить два других приложения.
Если согласие на «разблокировку» получено, троян открывает в браузере сайт того же партнерского сервиса, что и в случае с iOS-устройствами. После проверки ряда параметров этот сайт перенаправляет пользователя на сайт другой партнерской программы. На нем представлены задания, которые посетителю необходимо выполнить для получения вознаграждения. В рассматриваемом экспертами случае от пользователя требуется установить и запустить игру из каталога Google Play, а также принять участие в онлайн-опросе.
По сути, такие сайты представляют собой типичные сервисы для заработка на кликах, накрутке счетчиков посещений, рекламе различного ПО и накрутке числа его установок, а также на монетизации онлайн-опросов и других маркетинговых кампаний в интернете.
Некоторые из подобных сервисов действительно дают пользователям обещанные вознаграждения, например, когда то или иное задание выполняется для пополнения внутриигрового баланса или получения определенных бонусов в играх.
Однако в случае с трояном Android.FakeApp.176 пользователи не получают обещанной им игры. Мобильной версии Valorant попросту не существует, а единственная задача подделки — загрузить сайт партнерского сервиса, в результате чего мошенники получат вознаграждение за счет жертвы.
Такой вид незаконного заработка с использованием малвари, которая выдается за настоящие игры, встречался специалистам и ранее. Например, та же самая версия Android.FakeApp.176 распространялась под видом мобильной версии недавно вышедшей игры Call of Duty: Warzone, которая тоже доступна лишь на игровых приставках и компьютерах под управлением Windows.
Кроме того, еще в 2018 году злоумышленники распространяли одну из модификаций этого трояна под видом Fortnite, а в 2019 году — под видом Apex Legends. Обе игры быстро обрели широкую популярность среди множества игроков, чем и поспешили воспользоваться злоумышленники.
Очередная новинка, анонс которой состоялся менее двух месяцев назад, уже успела обрести миллионы поклонников, что не могло в очередной раз не привлечь внимание мошенников.
Компания «Доктор Веб» напоминает, что пользователям следует критически оценивать информацию, распространяемую в интернете, не переходить по подозрительным ссылкам и не устанавливать сомнительные приложения из непроверенных источников.