“Доктор Веб” разоблачил Android-троянец из Google Play, подписывающий пользователей на платные мобильные услуги

Android.Click.245.origin – вирус-троянец, выявленный командой специалистов антивирусной компании “Dr.Web”. По требованию мошенников эта программа подписывала владельцев зараженных девайсов на платные контент-услуги без их согласия. Иногда подписка оформлялась уже после попытки скачивания приложений.

Вирусная программа Android.Click.245.origin распространялась мошенниками от имени разработчика Roman Zencov и успешно скрывалась за иконками известных и популярных приложений. Среди программ, под которые маскировался троян, присутствуют “Miraculous Ladybug & Chat Noir” – пока не вышедшая игра по мотивам французского мультфильма, голосовой интерфейс “Алиса” от Яндекса, недоступный в виде отдельной программы. Огромный урон был нанесен тем, что один троянец занимал строчку среди тридцати наиболее скачиваемых приложений Google Play.

Аналитики антивирусной компании “Dr.Web” сообщили сотрудникам Google о существовании вируса Android.Click.245.origin. За этим последовало незамедлительное удаление вредоносных программ из каталога. Тем не менее, на ловушку попалось более 20000 человек, установивших фейковые приложения. Они не несут в себе никакой функциональной составляющей и существуют только с целью загрузки веб-страниц по требованию мошенников.

Как только Android.Click.245.Origin установлен, он переходит в режим ожидания заданий от управляющего сервиса. Далее он получает ссылку на вредоносную страницу, который нужно будет загрузить и, пользуясь WebView, отображает необходимый злоумышленнику сайт. Если девайс соединен с Интернетом через сеть Wi-Fi, пользователю будет предложено нажать на кнопку во всплывающем окне и загрузить приложение. Если владелец устройства устанавливал копию голосового интерфейса “Алиса”, для него будет выбран файл с вирусом, названный, к примеру, “AliceYandex.apk”. Пользователя должно насторожить то, что от него потребуется (по разным причинам – от подтверждения скачивания до авторизации) ввести свой телефонный номер. После этого жертве высылается код, и если она вводит комбинацию цифр на сайте, то автоматически подписывается на платную программу, не получая изначально желаемого приложения. При соединении с глобальной сетью через мобильный Интернет сайт несколько раз перенаправляется, в конце концов открывая адрес в браузере Google Chrome. Если владелец устройства нажимает на кнопки “Продолжить” и “Начать загрузку”, он опять же подписывается на установку вредоносной программы, которая будет списывать с его счета баснословные суммы денег. При этом дополнительно подтверждать свое согласие не нужно ни через СМС, ни через код доступа.

В том случае, если задание троянцу не отправляется, он просто выводит на экран девайса несколько графических изображений, загруженных из открытого доступа.

Злоумышленники изобретают новые способы незаконного обогащения крайне быстро, однако подключение ненужных контент-услуг – один из наиболее давних методов – не теряет своей популярности и по сей день. Наиболее опасна установка таких программ через сервис Wap-Click, часто действующий в сговоре с недобросовестными провайдерами – в этом случае абоненты зачастую и не догадываются, что с их счета списываются деньги за пользование услугой.

Обеспечить сохранность своих денежных средств – не такая трудная задача, как может показаться на первый взгляд. Для этого следует лишь придерживаться простых правил: во-первых, критично относиться к загружаемым веб-страницам и не переходить по подозрительных ссылкам. Иногда они могут скрываться за объявлением об интересующей вас новости, поэтому необходимо быть предельно внимательным. Во-вторых, рекомендуется устанавливать приложения исключительно от достоверных, зарекомендовавших себя разработчиков, а также не забывать про антивирус.

Наиболее надежный способ защиты от вредоносных программ для абонентов российских провайдеров – активация Контентного счета. Данная услуга существенно повышает безопасность девайса при нахождении на сторонних сайтах. Контентный счет, согласно федеральному закону № 126-ФЗ “О связи” – абсолютно независимый и автономный счет пользователя, существующий для подключения премиум-версий программ и прочего. После активации этой услуги средства для оплаты подписок осуществляются исключительно с него. Подключение Контентного счета осуществляется по факту подачи заявки в службу поддержки или офис обслуживания провайдера.

К счастью для пользователей антивирусных приложений от Dr.Web на Android, данные программы со стабильным успехом распознают и нейтрализуют все существующие версии Android.Click.245.Origin. Следовательно, с такой защитой вирус не представляет никакой угрозы.