«Лаборатория Касперского» обнаружила троянца, с помощью которого злоумышленники распространяют многочисленные рекламные объявления и без ведома владельцев устанавливают на их устройства различные приложения, а также оставляют фейковые отзывы в Google Play от их имени.
Чаще всего в декабре 2019 года зловред, получивший название Shopper, атаковал российских пользователей. Их доля составила 31%. На втором месте оказалась Бразилия с 18% заражённых пользователей, а на третьем — Индия с 13%.
Троянец эксплуатирует службу поддержки специальных возможностей Google Accessibility Service, созданную с целью облегчить использование приложений людям с ограниченными возможностями. Сервис, например, позволяет озвучивать текст в интерфейсе приложений, чтобы люди, которые не могут читать, могли слышать их содержимое. Однако злоумышленники используют его возможности для взаимодействия с интерфейсом системы и приложениями. Shopper может перехватывать данные, появляющиеся на экране, нажимать кнопки и даже имитировать жесты пользователя.
Эксперты «Лаборатории Касперского» предполагают, что троянец может попадать на устройство из мошеннических рекламных объявлений или из сторонних магазинов приложений при попытке скачать якобы легитимную программу. Вредонос притворяется системным ПО, например сервисами для очистки и ускорения работы смартфона, и маскируется под приложение с названием ConfigAPKs. Троянец собирает информацию об устройстве жертвы и отправляет её на серверы злоумышленников, а затем получает команды, в результате исполнения которых возможна реализация следующих сценариев:
• Google- или Facebook-аккаунты владельца устройства могут быть использованы без его ведома для регистрации в приложениях для шопинга или развлечения;
•  могут быть созданы фейковые отзывы на приложения;
•  может быть выключена функция Google Play Protect, которая проверяет на безопасность приложения из магазина Google Play до начала загрузки;
•  могут быть открыты ссылки, полученные от удалённого сервера в невидимом окне;
•  могут выскакивать многочисленные окошки с рекламой и создаваться ярлыки для рекламных приложений в меню приложений;
•  без ведома владельца из Google Play могут быть скачаны и установлены приложения;
•  ярлыки установленных приложений могут быть изменены на ярлыки рекламных страниц.
Продукты «Лаборатории Касперского» блокируют это вредоносное ПО.
Чтобы снизить риск заражения подобными угрозами, пользователям рекомендуется:
• внимательно проверять те программы, которые просят доступ к сервису Google Accessibility Service;
• не скачивать приложения из сторонних источников, даже если они активно рекламируются;
• использовать надёжное мобильное защитное решение, которое умеет распознавать потенциально опасные или сомнительные запросы от приложений и объяснять риски, связанные с разными типами разрешений, например Kaspersky Security Cloud.
Новости «Лаборатория Касперского»