Вирусное ПО из магазина Google Play, скачанное на смартфоны, втайне оформляет подписки на платные сервисы, среди жертв оказались пользователи из Украины.
Об этом сообщает Forbes, со ссылкой на экспертов компании по кибербезопасности Zimperium.
Исследователи утверждают, что мошенники начали масштабную кампанию по распространению трояна GriftHorse в ноябре 2020 года, с тех пор он успел «заразить» около 10 млн смартфонов, работающих на операционной системе Android. При помощи примерно 200 приложений преступникам удалось украсть миллионы долларов. Больше всего пострадали жители Европы, однако размещение в Google Play позволило охватить 70 стран по всему миру, среди них оказалась и Украина.
«От Австралии до России и от Южной Африки до Соединенных Штатов пользователи мобильных устройств по всему миру были украдены благодаря этой кампании», — заявил генеральный директор Zimperium Шридхар Миттал. — «Злоумышленники за это время могли завладеть миллионами евро».
После установки приложения навязчиво показывают всплывающие окна, информирующие о выигрыше, предлагающие забрать приз и пр. Тех, кто случайно или намеренно нажимает кнопку согласия, перенаправляют на страницу, язык которой меняется в зависимости от геолокации IP-адреса пользователя. Сайт требует ввести номер телефона, но вместо выдачи награды оформляет подписку на SMS-сервис за $40 (€30) в месяц.
Фишинговые программы маскировались под различные приложения, включая игры, переводчики, гороскопы, мониторинг физиологических показателей и даже радар для поиска паранормальных явлений. Так, зараженную программу для перевода Handy Translator Pro скачали от 500 тыс. до 1 млн пользователей.
«Эти вредоносные приложения для Android кажутся нормальными, когда вы читаете их описание в магазине приложений, но ложное чувство уверенности меняется, когда с пользователей ежемесячно взимается плата за премиум-сервис, на который они подписываются без их ведома и согласия», — заявили исследователи.
Трояны GriftHorse созданы с использованием фреймворка для разработки мобильных приложений Apache Cordova, который позволяет разработчикам использовать стандартные веб-технологии — HTML5, CSS3 и JavaScript для кроссплатформенных приложений. Технология позволяет автоматически устанавливать обновления, не требуя подтверждения пользователя. В то же время, ее могут использовать для размещения на сервере вредоносного кода и его запуска в реальном времени.
После сообщения от экспертов по кибербезопасности о вредоносах, Google удалила сотни зараженных программ из своего магазина и заблокировала разработчиков, однако они продолжали обманывать пользователей в течении нескольких месяцев. Как выяснила Zimperium, мошенники сменили веб-серверы для управления приложениями и перебрались на другие торговые площадки. Исследователи опубликовали на сайте полный список вредоносных приложений, хэшей и доменов, с помощью которых обворовывают пользователей.
Ранее стало известно, что Google Play распространяет опасный вирус, ворующий пароли от Приват24 и Monobank.
Также сообщалось, что в Украине аферисты устанавливают на банкоматах спецустройства и скрытые видеокамеры, которые считывают информацию с магнитных лент и фиксируют пароли от банковских карт.