CNews: Телеком B2B

Программу, незаметно рассылающую SMS на премиум-номера, скачали из Google Play более 1 млн раз

Безопасность Пользователю Телеком B2B
, Текст: Татьяна Короткова

Специалисты компании «Доктор Веб» обнаружили в каталоге Android-приложений Google Play утилиту, способную, помимо основного функционала, выполнять и нежелательные для пользователей действия, такие как рассылку SMS-сообщений, а также загрузку и установку других приложений. Как сообщили CNews в «Доктор Веб», что число скачавших ее пользователей превысило 1 млн.

Привлекшая внимание специалистов «Доктор Веб» программа является представителем распространенного класса так называемых утилит-оптимизаторов, дающих возможность задействовать те или иные функции мобильного устройства и выполнять на нем настройку определенных параметров. В частности, утилита позволяет управлять приложениями (осуществлять их установку, удаление и создание резервных копий), выполнять «очистку памяти», а также контролировать интернет-трафик.

Однако, помимо этих функций, программа способна выполнить и ряд скрытых от пользователя действий. Например, неавторизованную загрузку приложений и отправку SMS-сообщений на премиум-номера. Для этих целей утилита использует несколько подозрительных сервисов, которые активизируются после ее запуска. Так, один из них служит для связи с удаленным сервером, на который передается информация об устройстве (IMEI- и IMSI-идентификатор) и с которого поступают управляющие команды, такие как: создание списка приложений для загрузки; параметры для отправки SMS-сообщений (текст и номер получателя); создание списка для перехвата определенных входящих сообщений (содержит номер отправителя и текст SMS).

Другой сервис непосредственно задействован в установке приложений. В соответствии с созданным ранее списком apk-файлов он осуществляет их загрузку и попытку незаметной установки с применением команды pm install, которая доступна для выполнения на устройствах с root-доступом. Если же необходимые системные привилегии отсутствуют, установка будет выполнена в стандартном режиме, требующем подтверждения владельца мобильного устройства.

Увеличить
Страница вредоносной утилиты в Google Play

Несмотря на то, что возможность незаметной инсталляции программ может применяться в легитимных целях, например, при переносе приложений с одного пользовательского мобильного устройства на другое, эта функция также может быть использована и для установки различного ПО без разрешения пользователя. Что же касается автоматической отправки SMS-сообщений, то эта функция задействуется напрямую по команде с управляющего сервера и никак не контролируется пользователем. В связи с наличием подобных опасных возможностей вирусными аналитиками «Доктор Веб» было принято решение классифицировать данную утилиту как вредоносную и внести ее в вирусную базу под именем Android.Backdoor.81.origin.

По данным «Доктор Веб», многие пользователи, установившие данную утилиту, уже успели столкнуться с проблемой неавторизованной отправки SMS-сообщений на премиум-номера. По состоянию на 26 мая, программа была все еще доступна для загрузки из каталога приложений.

Подписаться на новости