Шпионское Android-приложение маскируется под Viber

05 сентября 2018 г., среда

Преступники продвигают зловред через сторонний сайт, который повторяет дизайн официального магазина Google Play.

Компания ESET сообщила о появлении шпионского зловреда, который маскируется под мессенджер Viber. Скачавшие приложение пользователи открывают преступникам доступ к содержимому своего смартфона и возможность записывать телефонные звонки.

Вредонос распространяется через один из неофициальных порталов для загрузки-приложений. Злоумышленники полностью скопировали дизайн Google Play — в карточке ложного мессенджера можно увидеть значок «Выбор редакции», цифры средней оценки пользователей и количества загрузок. Все эти показатели не имеют реального отношения к шпионскому продукту и призваны ввести пользователя в заблуждение.

По словам экспертов, приложение можно установить как на смартфон, так и на планшет. После загрузки фальшивый Viber запрашивает доступ к записной книжке, телефонным звонкам и сообщениям, запись аудио и SD-картой. Все это входит в стандартный набор разрешений для мессенджера, поэтому пользователь с высокой долей вероятности предоставит эти права.

В результате вредонос получает возможность копировать и отправлять злоумышленникам все содержимое устройства — фотографии и загруженные в память файлы, материалы из чатов WhatsApp и WeChat. Шпион также умеет записывать и отправлять преступникам телефонные звонки пользователя.

На данный момент в открытых источниках нет информации о количестве жертв зловреда, равно как и каких-либо способах его продвижения. Эксперты напоминают о необходимости загружать приложения только из официальных магазинов и призывают пользователей отключить на своих устройствах установку ПО из неизвестных источников.

Стоит отметить, что и в Google Play можно наткнуться на вредонос, замаскированный под известный сервис. Так, преступники маскировали опасное ПО под WhatsApp, Telegram и голосовой помощник от «Яндекса». По данным Google, которые компания привела в последнем отчете о борьбе с киберугрозами, в 2017 году модераторы магазина удалили более 250 тыс. фальшивых приложений.

Threatpost