Чаще всего в декабре 2019 года зловред, получивший название Shopper, атаковал российских пользователей. Их доля составила 31%. На втором месте оказалась Бразилия с 18% заражённых пользователей, а на третьем — Индия с 13%.
Троянец эксплуатирует службу поддержки специальных возможностей Google Accessibility Service, созданную с целью облегчить использование приложений людям с ограниченными возможностями. Сервис, например, позволяет озвучивать текст в интерфейсе приложений, чтобы люди, которые не могут читать, могли слышать их содержимое. Однако злоумышленники используют его возможности для взаимодействия с интерфейсом системы и приложениями. Shopper может перехватывать данные, появляющиеся на экране, нажимать кнопки и даже имитировать жесты пользователя.
Эксперты «Лаборатории Касперского» предполагают, что троянец может попадать на устройство из мошеннических рекламных объявлений или из сторонних магазинов приложений при попытке скачать якобы легитимную программу. Вредонос притворяется системным ПО, например сервисами для очистки и ускорения работы смартфона, и маскируется под приложение с названием ConfigAPKs. Троянец собирает информацию об устройстве жертвы и отправляет её на серверы злоумышленников, а затем получает команды, в результате исполнения которых возможна реализация следующих сценариев:
- Google- или Facebook-аккаунты владельца устройства могут быть использованы без его ведома для регистрации в приложениях для шопинга или развлечения;
- могут быть созданы фейковые отзывы на приложения;
- может быть выключена функция Google Play Protect, которая проверяет на безопасность приложения из магазина Google Play до начала загрузки;
- могут быть открыты ссылки, полученные от удалённого сервера в невидимом окне;
- могут выскакивать многочисленные окошки с рекламой и создаваться ярлыки для рекламных приложений в меню приложений;
- без ведома владельца из Google Play могут быть скачаны и установлены приложения;
- ярлыки установленных приложений могут быть изменены на ярлыки рекламных страниц.
«Сейчас Shopper в основном нацелен на онлайн-магазины, а его действие ограничивается распространением рекламы, созданием фейковых отзывов и подтасовыванием рейтингов, но нет гарантий, что его авторы остановятся на этом и не будут модифицировать зловред, добавляя в него новые функции. В любом случае, мы рекомендуем пользователям внимательно относиться к тому, из каких ресурсов они скачивают приложения и, по возможности, установить на смартфон защитное решение, чтобы минимизировать риски заражения», — отметил Игорь Головин, антивирусный эксперт «Лаборатории Касперского».
Источник: Пресс-служба компании «Лаборатория Касперского»