Спецпроекты

Злоумышленники нашли примитивный, но действенный способ использовать API Android

2079
ПО Безопасность Техника
Фишеры и спамеры нашли способ использовать API ОС Android для рассылки рекламных сообщений под видом уведомлений о пропущенных звонках. Обман сводится к подмене иконки.

Пропущенный звонок

Пользователи Android подверглись спам-атаке со стороны злоумышленников, нашедших способ эксплуатировать API мобильной операционной системы, предназначенные для вывода push-уведомлений (Notifications и Push).

Спамерские сообщения рассылаются через Google Chrome для Android. При этом фишеры смогли подменить иконку уведомлений, так что пользователь получает якобы уведомления о пропущенных звонках, хотя рядом с иконкой фигурирует и название Chrome, и ссылка на домен, откуда исходит сообщение. В итоге оказывается, что это фейковое сообщение о выигрыше дармового iPhoneXS.

Уведомления могут выводиться локальным приложением, даже если оно в данный момент не активно, или удаленным сервером. Акцию спамеров обнаружил сервис компании Lookout Phishing AI.

Не открывайте двери незнакомым

Push-сообщения приходят только в том случае, если пользователь сам разрешил тому или иному домену присылать их. Это существенно ограничивает возможности спамеров. Однако если им каким-то образом удается скомпрометировать популярный сайт и выудить у пользователя согласие на отправку ему уведомлений, то у злоумышленников появляются существенные козыри.

Спам в push-уведомлениях Chrome для Android имитирует пропущенные звонки

На данный момент за отправкой Push-спама замечены домены consumertestconnect.com, foundmoneyguide.com, getitfree-samples.com, click4riches.info, yousweeps.com.

Не все сообщения от этих доменов используют трюк с поддельной иконкой: видимо, злоумышленники пытаются использовать различные варианты спама, чтобы понять, что эффективнее.

Эксперты Lookout указывают, что этот метод вряд ли сработает на iOS, поскольку штатный браузер устройств AppleSafari не поддерживает push-уведомления в полной мере. Зато жертвами аналогичных кампаний легко могут стать пользователи десктопов, особенно на базе Windows.

Единственный пока способ защититься — не давать согласие на push-уведомления на сайтах, которые могут вызывать хотя бы минимальные подозрения, а если согласие все-таки выдано, то смотреть внимательнее на то, откуда исходит уведомление.

«По сути, речь идет о социальной инженерии, — не слишком замысловатой, но в теории довольно эффективной, поскольку мы чаще всего ориентируемся на визуальные индикаторы в первую очередь, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Впрочем, подобные “кунштюки” довольно быстро перестают работать, если работают вовсе. Реклама под видом пропущенного звонка, да еще и мошенническая, — что может раздражать сильнее?».



Профиль месяца

Нужно ли локализовывать иностранное ПО

Александр Шохин

президент Российского союза промышленников и предпринимателей

Стратегия месяца

Мы отказываемся от лоскутной автоматизации

Валерий Дьяченко

ИТ-директор «Мечела»