Цивилизация
В магазине приложений Google Play было обнаружено приложение FlixOnline, которое распространяло вредоносное ПО через WhatsApp, сообщает портал TechRadar. За пару месяцев существования его загрузили около 500 раз, сейчас оно удалено из магазина.
Интересным является тот факт, что выявленное исследователями компании Check Point Research приложение было замаскировано под популярный стриминговый сервис Netflix и предлагало пользователям бесплатный доступ к платформе.
«Тот факт, что вредоносная программа смогла так легко замаскироваться и обойти защиту Google Play, вызывает беспокойство. Даже несмотря на то, что мы остановили работу этого ПО, другие похожие программы скорее всего еще есть в магазине и спрятаны в других приложениях», — поделился менеджер отдела мобильной разведки Check Point Авиран Хазум.
Стоит отметить, что вредоносный софт работает по достаточно необычной схеме: после установки приложения сетевой червь захватывал установленный на смартфоне WhatsApp, получая при этом доступ к данным учетной записи и возможность автоматически отвечать на входящие сообщения от имени своих жертв.
«Два месяца бесплатного пользования Netflix Premium из любой точки мира в течение 60 дней», — говорилось в тексте, который далее сопровождался ссылкой. После того как получатель рассылки переходил на указанный сайт, он также заражался вредоносной программой.
«В данном случае злоумышленники использовали довольно новую технику атак, а также методику перехвата соединения с WhatsApp через захват уведомлений и возможность выполнения предопределенных действий «отклонить» или «ответить», — объяснил Хазум.
Чтобы обезопасить себя и свои данные, специалист CheckPoint рекомендует пользователям с осторожностью относится к ссылкам и вложениями, которые приходят в WhatsApp даже, когда их прислал близкий человек. Кроме того, не стоит полагаться исключительно на защиту от Google Play.
Директор Центра Solar appScreener компании «Ростелеком-Солар» Даниил Чернов отметил, что механизмы проверки приложений Google Play в высокой степени автоматизированы, и это не первый случай, когда по этой причине в официальный магазин Android попадают фейковые или небезопасные программы.
По словам эксперта, FlixOnline запрашивает разрешение на отключение оптимизации батареи, доступ к уведомлениям и разрешение на показ себя поверх других приложений.
«Последние два, в частности, нужны приложению, чтобы повысить свое распространение среди пользователей. Когда человек предоставляет эти разрешения, программа при получении пользователем уведомления в WhatsApp реагирует на него отправкой ответного сообщения с саморекламой. Реализовано это через центр уведомлений Android, который в последних версиях ОС позволяет пользователю в режиме предпросмотра отмечать сообщения как прочитанные или отвечать на них.
Благодаря этой фиче, FlixOnline не требуется запуск приложения WhatsApp для ответа, что позволяет пользователю думать, что за его спиной ничего не происходит.
Угроза возникает из-за избыточности прав доступа, которые предоставляет пользователь, и хитрой уловки с реализацией атаки через обновленный центр уведомлений Android», — объяснил Чернов.
Руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет» Алексей Мальнев отметил, что схема, по которой распространялось вредоносное ПО, достаточно эффективна, так как позволяет добиться высокого уровня доверия у получателей.
«Сообщение с фишинговой ссылкой они получали от своих же знакомых, с которыми недавно общались, и в рамках уже существующего диалога. Вероятность того, что жертвы в этом случае перейдут по ссылке, очень высока», — объяснил эксперт.
Также Мальнев рассказал о том, что безопасность контента в официальных магазинах ПО до сих пор остается значимой проблемой.
«Пользователям не стоит полагаться на 100% на легитимность тех приложений и расширений, которые они могут там найти. Важно всегда внимательно относиться к устанавливаемому ПО, скачивать только то, что действительно необходимо, и тщательно проверять репутацию разработчика», — заключил эксперт.
