Компания Panda Security сообщила о крупной атаке на устройства на базе Android. В официальном сообщении отмечается, что мошенническая схема берет начало в Facebook, где злоумышленники рекламировали набор вредоносных приложений.
Специалисты рассказали, что злоумышленники рекламируют в мобильных Android-приложениях различные ссылки, стараясь привлечь внимание пользователя. Если пользователь переходит по такой интернет-ссылке, он попадает в поддельный каталог Google Play. Пользователь, уверенный, что находится в официальном магазине, загружает бесплатное приложение, которое оказывается обычной троянской программой. Данный вирус скрытно подписывает пользователей на дорогостоящий SMS-сервис. При этом злоумышленники используют функции таргетированной рекламы, демонстрируя вредоносные ссылки только на устройствах с ОС Android.
Специалисты выяснили, что троянская утилита сканирует все входящие SMS-сообщения, отслеживая отправленные с платного SMS-сервиса. Если такое сообщение обнаруживается – оно автоматически удаляется с мобильного устройства. Это позволяет злоумышленникам скрывать факт подписки. Стоит отметить, что такая схема не работает на последней версии платформы (KitKat), поэтому преступники пошли на другую хитрость. При входящем сообщении смартфон переводится в бесшумный режим на несколько секунд, а полученное сообщение отмечается прочитанным. Утилита имеет счетчик SMS, что позволяет определить первое сообщение от платного сервиса – это необходимо, чтобы получить код подтверждения и ввести его на специальной интернет-страницы для завершения процедуры регистрации.
Троянское приложение также удаляет все сообщения, присланные с номера 22365. Данный номер принадлежит аналогичному сервису платных SMS – вирус просто устраняет прямого конкурента. Когда другой вирус пытается зарегистрировать пользователя на SMS-сервисе, он не может получить подтверждающий код и, соответственно не может активировать платную подписку.