Компания «Доктор Веб» объявила об обнаружении опасного трояна для Android, который используется для заработка на дорогостоящих подписках, а также для распространения других вредоносных приложений.

Новый троян начал опустошать кошельки Android-пользователей:	Фото - 3

Троян под названием Android.Valeriy.1.origin разработчики встроили в безобидное ПО. Он распространяется через шесть приложений, доступных в Google Play: Battery Booster; Power Booster; Blue Color Puzzle; Blue And White; Battery Checker; Hard Jump — Reborn 3D.

troyan-1

Все они являются играми и сервисными утилитами, и к настоящему моменту в общей сложности из каталога их загрузили, по данным компании, более 15 500 пользователей. В то же время управляющий сервер трояна, к которому получили доступ специалисты «Доктора Веб», содержит сведения о более чем 55 000 уникальных установках. Вирусные аналитики компании передали в компанию Google информацию о программах, скрывающих в себе Android.Valeriy.1.origin, однако на момент выхода заметки они все еще присутствовали в каталоге.

troyan-2

После запуска инфицированных игр и приложений вредоносный модуль соединяется с управляющим сервером и получает от него задание, содержащее специально сформированную ссылку. Троян автоматически переходит по указанной ссылке, которая ведет на промежуточный веб-сайт, и тот, в зависимости от различных параметров, передает вредоносному приложению конечный URL. В большинстве случаев этот URL ведет на сомнительные веб-порталы, основная задача которых — получить номер мобильного телефона потенциальных жертв и подписать их на услугу, за использование которой ежедневно будет взиматься плата.

Среди рекламируемых трояном сервисов может встретиться, например, предложение посмотреть материалы эротического характера, а также скачать популярное ПО, которое на самом деле является бесплатным и доступно для загрузки в каталоге Google Play. Несмотря на то, что информация о факте подписки и ее стоимости указана на загружаемых страницах, многие пользователи могут ее просто не заметить и указать свой номер телефона.

Android.Valeriy.1.origin автоматически открывает в окне WebView один из таких сайтов и выводит его на экран в виде рекламного баннера. Одновременно с получением соответствующего задания Android.Valeriy.1.origin начинает отслеживать все входящие SMS. После того как жертва указывает номер телефона, ей поступает код подтверждения подписки на платный сервис. Однако Android.Valeriy.1.origin перехватывает и блокирует эти сообщения, тем самым лишая пользователя информации о том, что он согласился с условиями предоставления дорогостоящей услуги. В результате с мобильных счетов жертв каждый день будет списываться определенная плата.