Поделиться
Приложение-шантажист скачали из Google Play более ста тысяч раз
Под видом средства для быстрого получения займов жителям Индии подсовывается вымогательское ПО, которое крадет личные данные и шантажирует пользователей.
Более 100 тысяч скачиваний
Эксперты фирмы CYFIRMA выявили и поспособствовали удалению из Google Play мошеннической программы, которая выдавала себя за финансовый инструмент, а на деле являлась средством вымогательства. К моменту удаления ее успели скачать из Google Play более 100 тысяч раз.
Приложение Finance Simplified представлялось средством получения быстрых финансовых займов, обещая привлекательные условия —минимум документов и так далее. Но затем с пользователя начинали требовать сумасшедшие проценты, а в качестве рычага давления использовались персональные данные, выведенные с устройства. Например, фотографии, которые дополнительно редактировались так, чтобы пользователь выглядел на них обнаженным.
При установке Finance Simplified (который эксперты окрестили также SpyLend) требует явно избыточного количества разрешений на доступ к данным и функциям устройства, в том числе, к контактам, логам звонков, СМС-сообщениям, фотографиям и географическому местоположению. Последнее используется для того, чтобы ограничить ареал атак: приложение нацеливается только на пользователей на территории Индии.
Остальные данные используются для давления на пользователя, особенно если те не выплачивают грабительские проценты.
Приложение крадет список контактов, журнал вызовов, СМС-сообщения (в особенности от банков), а также любые фото, видео и документы из встроенного накопителя и доступных внешних. Кроме того, оно каждые три секунды проверяет местоположение пользователя, данные о его прошлых перемещениях и IP-адрес.
Приложение также способно извлекать 20 последних текстовых сообщений, помещавшихся в буфер обмена, и историю займов, если таковая доступна.
В то время как эти данные используются для шантажа и вымогательства в отношении непосредственного пользователя, нельзя исключать, что эти сведения потом попадут в руки другим злоумышленникам и будут использованы повторно.
Невинные калькуляторы
По данным CYFIRMA, Finance Simplified использует довольно простой, но действенный трюк, чтобы обойти фильтры Google Play, — перенаправляет пользователя на внешний ресурс с помощью WebView, и предлагает скачать APK (архив приложения для Android), который хостится на сервере Amazon EC2. Таким образом, непосредственно в Google Play вредоносных компонентов нет.
Исследователи отмечают, что пользователям за пределами Индии выводятся безобидные финансовые калькуляторы, с займами никак не связанные.
«Любые приложения, связанные с финансами, необходимо проверять и перепроверять всеми возможными способами», — отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. «Подобные вымогательские приложения выглядят чем-то сравнительно новым, но 100 тысяч скачиваний - это явный «успех», а значит, недостатка в подражателях не будет».
Хотя приложение удалено из Google Play, исследователи выявили еще несколько APK, которые выглядят как варианты того же вредоноса. В частности, это KreditApple, PokketMe и StashFur. Не исключено, что их еще больше.
Короткая ссылка
