Свыше 30 SMS-троянов атаковали пользователей Android Market

Компания «Доктор Веб» сообщила об обнаружении большого количества вредоносных программ в официальном каталоге приложений Android Market. Все эти программы относятся к семейству троянов Android.SmsSend, способных отправлять SMS-сообщения на платные номера без согласия пользователя. После обращения специалистов «Доктор Веб» в компанию Google вредоносные приложения были оперативно удалены из Android Market, при этом необходимые записи внесены в вирусные базы Dr.Web.

Примечательно, что каталог приложений Android Market уже не в первый раз становится источником распространения вредоносных программ. Так, ранее в нем были найдены трояны семейства Android.DreamExploid, Android.DDLight и некоторые другие. Несмотря на то что единичные случаи появления в Android Market троянов семейства Android.SmsSend отмечались и раньше, такое массовое их распространение зафиксировано впервые.

На сегодняшний день специалистами «Доктор Веб» на Android Market были выявлены 33 вредоносные программы данного типа, созданные двумя различными разработчиками. Для распространения угрозы злоумышленники используют интересную схему: большинство вредоносных программ позиционируются как приложения – каталоги изображений, позволяющие изменять фоновый рисунок рабочего стола Android, и они действительно обладают таким функционалом. Тематика предлагаемых картинок самая широкая: от компьютерных игр до фотографий природы. Среди прочих вредоносных приложений встречаются и весьма оригинальные. Например, программа для составления гороскопов, диет, программа-фонарик и другие. Стоит отметить, что их интерфейс весьма аскетичен, и наличие хоть какого-то функционала призвано, скорее, прикрыть истинную цель вирусописателей — отправку с мобильного устройства жертвы платных SMS.

Помимо прочего, злоумышленники используют простой, но эффективный метод, позволяющий максимально увеличить вероятность того, что данные приложения будут замечены пользователями. Для этого в ключевых словах, которые разработчики добавляют в описания программ, часто помещаются популярные словосочетания, не относящиеся к данному продукту, например, названия популярных игр, таких как Angry Birds. В результате ссылки на подобные программы часто демонстрируются в первых строках результатов поиска по каталогу Android Market.

Принцип действия данных вредоносных приложений вполне стандартен. После запуска программы пользователю обычно демонстрируется текст, говорящий о том, что владелец мобильного устройства соглашается с неким условиями, причем само соглашение с перечнем этих условий, как правило, отсутствует. Хитрость заключается в том, что последнее слово в данном тексте представляет собой гиперссылку на страницу с лицензионным соглашением и никак не выделяется на фоне окружающих слов. После подтверждения согласия нажатием на соответствующую кнопку приложение немедленно попытается отправить платное SMS-сообщение.

В приложениях другого разработчика функционал несколько отличается, хотя и незначительно. После запуска на экране устройства появляется вступительный текст и две кнопки: первая для подтверждения согласия с условиями лицензии и вторая для открытия теста соглашения. Но и здесь не обошлось без хитрости: соглашение располагается на стороннем веб-сайте, который в данный момент не функционирует, поэтому ознакомиться с предлагаемыми условиями пользователь не может. После получения подтверждения приложение немедленно пытается отправить SMS-сообщения.

©  CNews