Вы используете устаревший браузер!
Страница может отображаться некорректно.
Защити созданное
Другие наши ресурсы
Напишите
Ваши запросы
Позвоните
Глобальная поддержка:
+7 (495) 789-45-86
Свяжитесь с нами Незакрытые запросы:
26 июля 2022 года
В течение месяца вирусные аналитики компании «Доктор Веб» выявили в каталоге Google Play десятки вредоносных программ. Среди них — рекламные трояны, программы-подделки, применяемые мошенниками, похитители конфиденциальной информации и другие.
Программные модули, встраиваемые в Android-приложения и предназначенные для показа навязчивой рекламы на мобильных устройствах. В зависимости от семейства и модификации они могут демонстрировать рекламу в полноэкранном режиме, блокируя окна других приложений, выводить различные уведомления, создавать ярлыки и загружать веб-сайты.
В июне вирусная лаборатория компании «Доктор Веб» выявила в каталоге Google Play около 30 рекламных троянов Android.HiddenAds, общее число загрузок которых превысило 9 890 000. Среди них были как новые представители семейства (Android.HiddenAds.3168, Android.HiddenAds.3169, Android.HiddenAds.3171, Android.HiddenAds.3172 и Android.HiddenAds.3207), так и новые модификации уже известного трояна Android.HiddenAds.3158, о котором мы сообщали в майском обзоре.
Все они были встроены в разнообразные программы — редакторы изображений, экранные клавиатуры, системные утилиты, приложения для звонков, программы для замены фонового изображения домашнего экрана и другие.
Ниже представлен список с названиями программ, в которых скрывались эти трояны:
Для показа рекламы часть из них пытается получить разрешение на демонстрацию окон поверх других программ, остальные — попасть в список исключений функции экономии заряда аккумулятора. А чтобы в дальнейшем пользователям было сложнее обнаружить «нарушителей», трояны скрывают свои значки в списке установленных приложений главного экрана или заменяют их менее приметными. Например, значком с названием «SIM Toolkit», при выборе которого вместо исходного приложения запускается одноименное системное ПО для работы с SIM-картой.
Примеры того, как эти трояны пытаются получить доступ к необходимым функциям:
Пример изменения значка одного из вредоносных приложений:
Кроме того, наши специалисты обнаружили очередных троянов семейства Android.Joker, которые способны загружать и выполнять произвольный код, а также подписывать пользователей на платные мобильные услуги без их ведома. Один из них скрывался в лончере Poco Launcher, другой — в приложении-камере 4K Pro Camera; третий — в сборнике стикеров Heart Emoji Stickers. Они были добавлены в вирусную базу Dr.Web как Android.Joker.1435, Android.Joker.1461 и Android.Joker.1466 соответственно.
Среди выявленных угроз также были новые вредоносные приложения семейства Android.PWS.Facebook, получившие имена Android.PWS.Facebook.149 и Android.PWS.Facebook.151. Они похищали данные, необходимые для взлома учетных записей Facebook (деятельность социальной сети Facebook запрещена на территории России). Оба трояна распространялись под видом редакторов изображений. Первый — программы под названием YouToon - AI Cartoon Effect, второй — Pista - Cartoon Photo Effect.
После запуска они предлагали потенциальным жертвам войти в свою учетную запись, после чего загружали стандартную страницу авторизации Facebook. Затем они перехватывали данные аутентификации и передавали их злоумышленникам.
Также специалисты «Доктор Веб» обнаружили трояна Android.Click.401.origin. Он скрывался в программе Water Reminder- Tracker & Reminder, напоминающей о необходимости пить достаточно жидкости, и в обучающей программе по йоге Yoga- For Beginner to Advanced. Обе были полностью работоспособными, поэтому у пользователей не было причин заподозрить в них угрозу.
Этот троян расшифровывает и запускает находящийся среди его ресурсов основной вредоносный компонент (Android.Click.402.origin по классификации антивируса Dr.Web), который скрытно загружает различные веб-сайты в WebView. Затем данный компонент имитирует действия пользователей, автоматически нажимая на расположенные на сайтах интерактивные элементы, например — баннеры и рекламные ссылки.
Другой выявленной угрозой стало поддельное приложение для онлайн-общения Chat Online, несколько модификаций которого были добавлены в вирусную базу Dr.Web как Android.FakeApp.963 и Android.FakeApp.964.
В трояне нет заявленной функциональности. Он лишь загружает различные веб-сайты, в том числе мошеннические. На одних имитируется процесс регистрации в онлайн-сервисах знакомств. При этом у потенциальных жертв запрашивается номер мобильного телефона, адрес электронной почты и другие персональные данные. В дальнейшем эта информация может попадать на черный рынок и использоваться мошенниками.
На других сайтах имитируется диалог с настоящими пользователями, после чего предлагается оплатить премиум-доступ для продолжения «общения». Согласие на это может привести не только к единовременному списанию определенной суммы или подписке на ненужную платную услугу, но и к потере всех средств, если киберпреступники получат данные банковской карты.
Компания «Доктор Веб» передала информацию о выявленных угрозах корпорации Google. На момент выхода данного обзора часть вредоносных приложений все еще была доступна для загрузки.
Для защиты Android-устройств от вредоносных и нежелательных программ пользователям следует установить антивирусные продукты Dr.Web для Android.