Aplicația care îți arată reclame și lasă recenzii false în locul tău
Cercetătorii Kaspersky au detectat o aplicație infectată cu un troian care deranjează utilizatorii cu reclame nesolicitate și intermediază instalarea aplicațiilor de cumpărături online.
Troianul se numește Shopper și vizitează magazinele de aplicații pentru smartphone. Ca utilizator, te afectează în mai multe moduri. În primul rând, descarcă și lansează aplicații și lasă recenzii false în numele tău. Partea proastă e că e și foarte dificil de detectat.
Shopper a atras pentru prima dată atenția cercetătorilor prin capacitatea de a crea confuzie în privința structurii sale și prin utilizarea Google Accessibility Service. Serviciul este destinat persoanelor cu dizabilități, pentru că le permite acestora să seteze o voce pentru a citi conținutul aplicației și pentru a automatiza interacțiunea cu interfața cu utilizatorul. Însă, în mâinile atacatorilor acest serviciu reprezintă o amenințare serioasă pentru proprietarul dispozitivului.
Odată ce are permisiunea de a utiliza serviciul, malware-ul poate controla interacțiunile cu interfața și aplicațiile sistemului. Astfel, poate captura date afișate pe ecran, apăsa butoane și chiar simula gesturile utilizatorului.
Aplicația pretinde a fi una de sistem și folosește o pictogramă de sistem denumită ConfigAPKs pentru a se ascunde de utilizator. După ce ecranul este deblocat, aplicația se lansează, adună informații despre dispozitivul victimei și le trimite pe serverele atacatorului. Apoi, serverul returnează comenzile pentru executarea aplicației. În esență, atacatorii folosesc Shopper pentru a crește rating-ul unei anumite aplicații din magazin.
Nu se cunoaște încă modul în care este răspândită, însă cercetătorii Kaspersky presupun că poate fi descărcată de proprietarii de dispozitive din reclame frauduloase sau din magazine de aplicații terțe în timp ce încearcă să obțină o aplicație legitimă.
Cum te afectează acest troian
Aplicația infectată cu troian este capabilă:
- Să utilizeze contul de Google sau Facebook al proprietarului dispozitivului pentru a se înregistra pe aplicații populare de cumpărături și divertisment, cum ar fi AliExpress, Lazada, Zalora, Shein, Joom, Likee sau Alibaba.
- Să lase recenzii aplicațiilor din Google Play, în numele proprietarului dispozitivului;
- Să verifice drepturile de utilizare a serviciului de accesibilitate. Dacă permisiunea nu este acordată, aplicația trimite o solicitare de phishing;
- Să dezactiveze Google Play Protect, o funcție care efectuează o verificare de siguranță a aplicațiilor din Google Play Store înainte de a fi descărcate;
- Să deschidă link-urile primite de la server-ul de la distanță într-o fereastră invizibilă și să se ascundă din meniul aplicației după ce un număr de ecrane au fost deblocate;
- Să afișeze reclame atunci când deblocați ecranul dispozitivului și să creeze etichete pentru anunțurile publicitare din meniul aplicației.
- Să descarce aplicații din Apkpure[.]com market și să le instaleze;
- Să deschidă și să descarce aplicații publicitare în Google Play;
- Să înlocuiască etichetele aplicațiilor instalate cu etichetele paginilor promovate.
„Deocamdată, aplicația își îndreaptă atenția către zona de comerț, însă are capacitatea să răspândească informații false prin intermediul conturilor de socializare ale utilizatorilor și al altor platforme. De exemplu, aceasta ar putea distribui automat videoclipuri care conțin tot ce ar dori operatorii din spatele Shopper să se găsească pe paginile personale ale utilizatorilor și ar putea inunda Internetul cu informații îndoielnice”, spune Igor Golovin, Kaspersky malware analyst.