Спецпроекты

Безопасность Пользователю Техника Мобильность Маркет

На российские смартфоны напал троян, который устанавливает ненужное ПО и пишет на него позитивные отзывы

Атакующий пользователей в России, Бразилии и Индии, троянец Shopper.a захватывает контроль над некоторыми функциями смартфона и использует их для рекламных и рейтинговых накруток.

Троян-фейкомёт А

Эксперты «Лаборатории Касперского» обнаружили троянскую программу под Android, которая способна накручивать рекламу, публикует фейковые обзоры под приложениями и отключает защитную службу Google Play Protect на заражённых устройствах.

Троянец Trojan-Dropper.AndroidOS.Shopper.a «может заглянуть на Google Play (или другой каталог приложений), установить несколько программ и написать от имени пользователя отзывы о них. А чтобы пользователь не заметил подвоха, окно установки будет перекрыто «невидимым» окном приложения», - говорится в публикации «Лаборатории».

Shopper.a способен эксплуатирует службу AccessibilityService, которая, по замыслу Google, должна была облегчать использование смартфона людям с ограниченными возможностями. Эту службу троянец использует для выдачи себе разрешений на установку приложений и любое взаимодействие с интерфейском системы и приложенинями.

Троянец Shopper.a захватывает контроль функциями смартфона и использует их для рекламных и рейтинговых накруток

Благодаря этому троянец может захватывать данные, отображаемые на экране, имитировать нажатие на кнопки и эмулировать жесты пользователя.

Троянец использует незамысловатую, но эффективную маскировку: идентичную системной иконку и название ConfigAPK (при этом он ещё и способен скрывать себя из меню приложений после некоторого числа разблокировок экрана).

Что касается AccessibilityService, то доступ к этой службе троянец выманивает у самого пользователя с помощью «фишингового» запроса.

Кто сказал, что вам это не нужно?

В дальнейшем троянец может зарегистрировать пользователя с помощью его аккаунтов в Google или Facebook сразу в нескольких приложениях (Aliexpress, Lazada, Zalora, Shein, Netshoes, Phrendly и т.д.), а также самостоятельно устанавливать любые приложения на смартфон и писать отзывы о них.

Троянец активен во всём мире, но, судя по собранной статистике, наибольшее количество заражений приходится на Россию. На втором месте Бразилия, на третьем Индия.

shopper600.jpg
По данным «Лаборатории Касперского», наибольшее число жертв Shopper.a живут в России, Бразилии и Индии

В своей публикации эксперт «Лаборатории Касперского» Игорь Головин деликатно указывает на то, что наилучшим способом избежать риска заражения этим троянцем - «отказаться от установки приложений из сомнительных источников, в том числе из рекламных объявлений, что бы они ни обещали».

По всей видимости, вредонос попадает на смартфоны вместе с приложениями из неофициальных магазинов приложений, где уровень контроля качества ниже, чем в Google Play. Впрочем, как показывает статистика, троянизированные приложения в официальном магазине Google встречаются довольно часто. На днях из него были удалены сразу 1700 программ, содержавших троянец Joker.

«Shopper.a представляет наибольшую угрозу даже не конечным пользователям, а рекламодателям: очевидно, что основное его назначение - фальсификация рекламных показов и рейтингов низкопробных приложений, - считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. - Однако любой дроппер - это ещё и возможность загрузки куда более опасных программ на конечное устройство, так что нет никаких гарантий, что однажды вместо просто ненужного приложения на инфицированный «Шоппером» смартфон не попадёт шифровальщик или банковский троянец».

Роман Георгиев

Короткая ссылка