False aplicaţii de editare foto din Google Play, folosite pentru a fura banii utilizatorilor

O nouă breşă de securitate a fost semnalată în magazinul Google Play de experţii Kaspersky, o falsă aplicaţie pentru editare foto reuşind să treacă de filtre Google, activând pe dispozitivele utilizatorilor un malware conceput pentru a fura informaţii personale, care sunt apoi folosite pentru abonarea clandestină la servicii cu suprataxă.

Malware-ul vinovat se numeşte MobOk şi este o aplicaţie de tip backdoor, concepută pentru a fi strecurată împreună cu alte aplicaţii de Android aparent legitime. Descris drept de experţii Kaspersky drept unul dintre cele mai periculoase tipuri de malware, MobOk oferă atacatorului un control aproape total asupra dispozitivului infectat.

În ciuda faptului că toate aplicaţiile încărcate în Google Play sunt supuse unor verificări făcute cu ajutorul unor filtre automate îmbunătăţire constant, nu este pentru prima oară când ameninţările şi-au făcut loc pe dispozitivele utilizatorilor. Din acest motiv, aplicaţiile Pink Camera nu au stârnit suspiciuni, având incluse funcţii autentice de editare a fotografiilor şi fiind descărcate din magazinul Google Play.

De îndată ce utilizatorii începeau să-şi editeze fotografiile, aplicaţia solicita acces la notificări şi acest lucru iniţia activitatea periculoasă în fundal. Scopul acestei activităţi era abonarea utilizatorului la servicii de telefonie mobilă pe bază de abonament plătit. Acestea arată, de obicei, ca pagini web ce oferă un serviciu în schimbul unei plăţi zilnice, care este adăugată la factura telefonului mobil. Acest model de plată a fost iniţial dezvoltat de operatorii de reţele mobile pentru a facilita abonarea clienţilor la servicii premium, dar acum infractorii cibernetici profită uneori de ele.

Odată ce telefonul este infectat, malware-ul MobOk colectează informaţii despre dispozitiv, cum ar fi numărul de telefon asociat, pentru a folosi aceste informaţii în etapele ulterioare ale atacului. Apoi, atacatorii trimiteau dispozitivului infectat detalii despre pagini web cu servicii pe bază de abonament plătit, iar malware-ul le deschidea, acţionând ca un browser secret, din fundal. Utilizând numărul de telefon obţinut mai devreme, malware-ul îl introducea în câmpul „înregistrare” şi confirma achiziţia. Dat fiind că avea control total asupra dispozitivului şi putea să verifice notificările, malware-ul tasta codul de confirmare SMS atunci când intra – totul fără să anunţe utilizatorul.

„Capacitatea de editare a fotografiilor de pe Pink Cameras nu era impresionantă, dar ceea ce au putut face în spatele cortinei este remarcabil: abonarea utilizatorilor la servicii plătite, în limbile rusă, engleză şi thailandeză, monitorizarea SMS-urilor şi solicitarea codului Captcha – pe care trebuie să îl scrii ca să dovedeşti că nu eşti robot – pentru recunoaştere din partea serviciilor online. Aceasta înseamnă că au avut şi posibilitatea de a fura bani din conturile bancare ale victimelor. Teoria noastră este că atacatorii din spatele acestor aplicaţii au creat şi serviciile de abonament, dintre care nu toate erau autentice, cât şi malware-ul care a atras abonaţii şi le-au proiectat pentru a ajunge la o audienţă internaţională „, a declarat Igor Golovin, security researcher la Kaspersky.

Schema de sifonare a banilor funcţiona până când victima observa plăţile pe factura de telefon şi se dezabona de la fiecare serviciu cu suprataxă la care a fost abonat.

Deşi aplicaţiile infectate au fost între timp eliminate din magazinul Google Play, este posibil ca şi alte scheme similare pentru abonarea clandestină a utilizatorilor la servicii cu suprataxă să funcţioneze nedetectate sub paravanul unor aplicaţii aparent legitime. Pentru evitarea acestor capcane, specialiştii Kaspersky recomandă utilizatorilor vigilenţă în alegerea aplicaţiilor pe care le folosesc şi refuzul acordării de permisiuni asupra dispozitivului, care nu par să aibă loc cu funcţionalitatea oferită. Verificarea evaluărilor lăsate de alţi utilizatori în pagina aplicaţiei din Play Store poate fi o idee bună, un rating scăzut fiind un bun indiciu pentru eventuale surprize neplăcute. Pentru protecţie eficientă împotriva ameninţărilor cu malware este recomandată folosirea unei soluţii antivirus pentru Android.