Новый вредоносный софт для Android установлен более 3 миллионов раз из Google Play

Исследователь безопасности обнаружил новую семью вредоносного ПО для Android в Google Play Store, которое тайно подписывало пользователей на платные услуги, согласно отчету Bleeping Computer.

Новый вредоносный софт для Android, получивший название Autolycos, был обнаружен Максиминым Инграо, исследователем безопасности компании кибербезопасности Evina. Вредоносное ПО, которое впервые было идентифицировано Инграо в июне 2021 года, заразило восемь приложений в Play Store, которые были загружены более трех миллионов раз.

Все эти вредоносные приложения заманивали пользователей в загрузку, предлагая дополнительную функциональность для их камеры или клавиатуры.

Инграо отметил, что эти вредоносные приложения запрашивали у пользователей разрешение на чтение SMS-сообщений на смартфоне после установки. Как только пользователи давали разрешение, они крали данные.

Иногда они даже подписывались на премиум-пакеты зараженных приложений без ведома или согласия владельца. Они узнавали об этом только тогда, когда получали счет и уведомление о том, что сумма была списана с их кредитных или дебетовых карт.

Хотя исследователь сообщил о вредоносном ПО Autolycos в Google еще в июне 2021 года, поисковому гиганту потребовалось около полугода, чтобы удалить шесть зараженных приложений из Play Store. Более того, два оставшихся зараженных приложения были удалены только после того, как Bloomberg опубликовал свою статью о вредоносном ПО Autolycos.

Ниже приведен полный список приложений, зараженных вредоносным ПО Autolycos и его детали:

2. Vlog Star Video Editor:- 1 миллион загрузок

3. Creative 3D Launcher:- 1 миллион загрузок

4. Wow Beauty Camera:- 100,000 загрузок

5. Gif Emoji Keyboard:- 100,000 загрузок

6. Freeglow Camera 1.0.0:- 5,000 загрузок

7. Coco camera V1.1:- 1,000 загрузок

8. Funny Camera by KellyTech:- Более 50,000 загрузок

9. Razer Keyboard & Theme by rxcheldiolola:- Более 50,000 загрузок

Как работало вредоносное ПО Autolycos?

“Autolycos гораздо более скрытный, чем теперь уже известный вредоносный софт Joker. Autolycos не запускает невидимый браузер, как это делает Joker. Вредоносное ПО запускает мошеннические попытки, выполняя http-запросы без использования браузера,” написал Инграо в отчете, объясняющем, как работает вредоносное ПО.

“На некоторых этапах оно может выполнять URL-адреса на удаленном браузере и встраивать эти результаты в http-запросы. Эта операция предназначена для того, чтобы усложнить Google различение зараженных приложений Autolycos от легитимных. Именно поэтому Autolycos оставался неидентифицированным так долго и достиг более 3 миллионов загрузок.”

Киберпреступники продвигали приложения на нескольких страницах Facebook и запускали рекламу на Facebook и Instagram, чтобы привлечь большое количество новых пользователей.

Приложения, которые продвигались через рекламные кампании, становились более заметными для пользователей, что приводило к большому количеству загрузок приложений за короткий период времени, что в итоге позволяло им занимать высокие позиции в Play Store.

Например, по словам Инграо, было 74 различных рекламных кампании на Facebook для продвижения приложения Razer Keyboard & Theme, содержащего Autolycos. Некоторые также использовали ботов для генерации положительных отзывов в Play Store. Это приложение заняло 5-е место в топе новых приложений Play Store в Нигерии и 2-е место в категории приложений для персонализации.

Чтобы оставаться в безопасности, проверьте, есть ли на вашем Android-смартфоне какие-либо из вышеупомянутых зараженных приложений, если да, немедленно удалите его. Следите за своим фоновым интернет-трафиком, потреблением батареи приложениями, держите Play Protect активным и загружайте как можно меньше приложений на свои смартфоны.