Спецпроекты

Безопасность Телеком Техника

100 тыс. человек скачали в Google Play зараженное приложение под Android и помогли создать преступные аккаунты в соцсетях

Приложение под Android использовалось как средство перенаправления SMS при регистрации анонимных фейковых аккаунтов в соцсетях и других онлайн сервисах. Из Google Play это приложение скачали более 100 тыс. раз.

100 тыс. скачиваний

Приложение под Android, насчитывающее 100 тыс. скачиваний из Google Play, использовалось его создателями для регистрации большого количества поддельных аккаунтов в различных сетевых сервисах и соцсетях, в том числе Google и Telegram. Приложение Symoo выдает себя за средство работы с SMS-сообщениями и в какой-то степени работает именно так, но совсем иначе, нежели рассчитывают пользователи.

Как указывает исследователь проблем информбезопасности Максим Инграо (Maxime Ingrao), смартфоны, на которое устанавливается это приложение, по всей видимости, сдаются злоумышленниками в аренду в качестве «виртуальных номеров» для регистрации анонимных и поддельных аккаунтов: значительная часть сервисов требует номер мобильного телефона для подтверждения личности нового пользователя, и на этот номер отправляются разовые коды проверки.

Такие коды в огромном количестве и получали пользователи, имевшие неосторожность установить себе такое приложение.

При инсталляции приложение требует доступа к чтению и отправке SMS, затем выводит пользователю фальшивый экран, на котором якобы отображается процесс установки ресурсов. Этот процесс может длиться очень долго, а на его фоне приложение интенсивно пересылает совсем другие данные.

smartfony600.jpg
Популярное приложение под Android помогало массово регистрировать фейковые аккаунты

Как отмечает издание Bleeping Computer, удаленные операторы отправляют многочисленные SMS с кодами двухфакторной авторизации для создания новых аккаунтов в разных сервисах и считывания данных из них (по-видимому, речь идет о реквизитах доступа, которые потом продаются или передаются посторонним людям).

После этого приложение зависает, так что пользователи, скорее всего, его удаляют. Однако коды авторизации к аккаунтам, которые они не создавали, продолжают к ним приходить.

Не только одноразовые коды?

Максим Инграо также обнаружил, что приложении Symoo способно выводить данные SMS на домен, который используется другим сомнительным приложением — Virtual Number. До недавнего времени оно также присутствовало в Google Play, но потом его удалили.

Разработчик Virtual Number создал и протащил в GooglePlay еще одно приложение: ActivationPW — Virtual Numbers, которое предлагает «онлайновые номера более чем от 200 стран»; их можно использовать для регистрации поддельного аккаунта в онлайн-сервисах. Аренда такого номера с возможностью верифицировать аккаунт обойдется в $0,5. Естественно, речь идет о криминале.

Существует подозрение, что Symoo также используется для получения и перенаправления одноразовых кодов, которые генерируются при создании аккаунтов через ActivationPW.

В любом случае, все это — вредоносные приложения, лишь по недоразумению попавшие в Google Play.

«Схема, используемая злоумышленниками, довольно интересна, хотя и удивляет своей одноразовостью, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — С каждой установкой приложения можно зарегистрировать лишь довольно ограниченное количество фейковых аккаунтов. С другой стороны, у приложения озадачивающе большое количество скачиваний, и злоумышленникам каким-то образом удается поддерживать достаточно высокий рейтинг, несмотря на множество отрицательных отзывов. Либо они немало потратились на накрутку оценок, либо изначально это приложение могло выполнять какие-то полезные функции. Первая версия, впрочем, выглядит более убедительной».

На данный момент приложение все еще остается в Google Play.

Роман Георгиев

Короткая ссылка