Как мобильные приложения незаметно навязывают услуги пользователям
С подписками на услуги мобильных контент-провайдеров сталкивались многие. Возникают они будто бы из ниоткуда, а обнаруживаются только в тот момент, когда на счету не остается средств. Может показаться, что для защиты достаточно не посещать сомнительных сайтов и не устанавливать приложения из сторонних источников, но, увы, сегодня этого явно недостаточно.
Специалисты компании Kaspersky обнаружили в Play Market несколько приложений, имеющих самое непосредственное отношение к этим навязываемым услугам.
Pink Camera (com.paint.oil) и Pink Camera 2 (com.psbo.forand) ничем друг от друга не отличаются, кроме цифры в названии, у каждого более 10 тысяч установок.
На первый взгляд это обычные фоторедакторы, однако подозрения начинают закрадываться уже при чтении списка разрешений. К примеру, приложениям требуется доступ к управлению Wi-Fi, что довольно нетипично для ПО такого класса. Кроме этого, при запуске редакторы запрашивают доступ к уведомлениям и делают это до тех пор, пока пользователь не согласится его предоставить. Пока пользователь пытается приукрасить свою фотографию (с помощью скудной функциональности), приложение в фоновом режиме собирает информацию об устройстве и отправляет ее на сервер ps.okyesmobi[.]com.
Пример запроса, полученного после расшифровки трафика приложения:
Как видно, передается информация об устройстве и сети оператора связи. В ответ ПО получает набор ссылок (зависит от страны и оператора связи) на страницы:
Эти адреса после нескольких редиректов приводят пользователя на страницу оформления подписки. Наши технологии детектируют эти страницы как not-a-virus:HEUR:AdWare.Script.Linkury.gen.
Получив адреса вредоносных страниц, программа загружает их в невидимом для пользователя окне. Перед этим приложение отключает модуль Wi-Fi в телефоне пользователя, тем самым активируя подключение по мобильной сети для упрощения оформления подписки.
Затем приложение расшифровывает вспомогательный скрипт на Java, хранящийся в ресурсах приложения, и выполняет действия, необходимые для активации подписки:
- Подставляет номер телефона пользователя (полученный в ходе сбора информации) в соответствующее поле;
- Если страница подписки защищена с помощью CAPTCHA, приложение выполняет ее распознавание с помощью сервиса распознавания изображений chaojiying[.]com и автоматически вставляет в нужное поле на странице;
- Если для активации подписки необходимо ввести код из SMS, приложение получает его благодаря доступу к уведомлениям;
- Нажимает нужную для оформления подписки кнопку.
Что сделать, чтобы себя обезопасить
Анализ загружаемых зловредом страниц показал, что он нацелен на пользователей из разных стран, а его размещение в официальном магазине приложений позволило авторам без проблем распространять его. Чтобы не попасться на удочку и сохранить деньги на счету мобильного телефона, мы рекомендуем внимательно изучать список разрешений, которые приложения запрашивают при установке, и установить на смартфон защитное решение, способное детектировать данный тип угроз. Кроме этого, можно подключить опцию типа «запрет контента» или открыть контентный счет.
Источник: Лаборатория Касперского