Специалисты по кибербезопасности Avast выяснили, что недавно обнаруженное вредоносное ПО для мобильных устройств может увеличить телефонные счета жертв.
Антивирусная компания недавно обнаружила уникальную вредоносную программу SMSFactory, распространяемую среди ее бразильских клиентов, а мобильные пользователи в России, Украине, Турции и Аргентине также оказались в центре внимания.
SMSFactory наносит ущерб, предписывая Android-смартфону отправлять телефонные звонки и текстовые сообщения на номера с повышенным тарифом. Он распространяется по неофициальным каналам, а это значит, что вы не найдете SMSFactory в Play Store, но найдете его в APKMods и PaidAPKFree, двух репозиториях мобильных приложений с сомнительной политикой. Avast также утверждает, что злоумышленники продвигают приложение с помощью вредоносной рекламы, push-уведомлений, различных всплывающих окон и рекламных сайтов, видеороликов и т. д.
Среди различных разрешений, запрашиваемых приложением, исследователи также обнаружили разрешение на доступ к списку контактов (открывается в новой вкладке), поэтому весьма вероятно, что оно использует этот список для дальнейшего расширения своего охвата. Другие запрашиваемые разрешения включают данные о местоположении, разрешение на телефонные звонки, отправку и чтение текстовых сообщений, блокировку и вибрацию, управление наложением, использование полноэкранного режима, отслеживание уведомлений и запуск различных фоновых действий.
Если эти разрешения недостаточно велики, чтобы быть красным флажком, устройство Android также выдаст предупреждение во время установки, сообщая потенциальной жертве, что приложение опасно. Тем не менее, многие, похоже, закрывали глаза на предупреждения, поскольку приложение установлено «десятками тысяч» раз, сообщает Avast.
После установки приложение отобразит сообщение о том, что оно не работает или служба недоступна. Поскольку он скрывает свое имя и значок, многим пользователям трудно его удалить или они, кажется, забывают, что они что-то установили.
Однако приложение продолжает работать в фоновом режиме, поддерживая связь с C2-сервером и отправляя идентификационный профиль зараженного терминала.
Через: BleepingComputer (открывается в новой вкладке)