«Лаборатория Касперского» сообщает о новом опасном мобильном вирусе-трояне Podec, который впервые обнаружили в конце 2014 года, но активизировавшемся только сейчас. Функционал этого вируса сводится к отправке сообщений на платные номера без уведомлений о стоимости услуги и запроса на подтверждение оплаты. Также вирус «умеет» подписывать Android-устройство «жертвы» на платные услуги даже в обход CAPTCHA. Подобную функциональность доселе не имел ни один Android-троянец, известный «Лаборатории Касперского».
Вирус распространен в России, Казахстане, Украине, Беларуси и Кыргызстане. Троян подгружается с различных доменов со звучными именами, например, с minergamevip.com, Apk-downlad3.ru и т.д., а также с серверов соцсети «ВКонтакте», на которых хранится пользовательский контент. Причем соцсеть в случае с трояном Podec преобладает. Существует ряд сообществ, которые распространяют ссылки на троян.
Как выяснилось, группы злоумышленников в «ВКонтакте» имеют схожее оформление, схожий стиль ведения и много других сходств. Да и администраторами в них зачастую выступают одни и те же пользователи. Информацию подтвердил представитель «ВКонтакте» Георгий Лобушкин. По его данным, служба поддержки соцсети уже регистрировала случаи заражения Android-устройств через такие сообщества и теперь все группы злоумышленников уже заблокированы.
Android-вирус Podec распространяется предельно просто – он маскируется под популярное приложение, загружаемое пользователем в обход Google Play. Например, один из пойманных «Лабораторией Касперского» экземпляров Podec был замаскирован под известную многим игру Minecraft – Pocket Edition. После запуска приложение запрашивает права администратора устройства, исключая риск дальнейшего удаления. Поскольку среднестатистический пользователь редко вчитывается в требования при установке, злоумышленники делают на это ставку. Пользователи и правда ищут, где бы побыстрее поставить галочку и продолжить установку.
С превилегированным доступом к устройству, Android-вирус Podec действительно начинает загрузку легитимного приложения. Предоставив обладателю устройства заветную игру или программу, вирус заметает следы своего присутствия и заменяет свой ярлык ярлыком оригинального приложения. Финальный штрих – приложение дезактивирует кнопку собственного удаления. Попытки снятия привилегий чреваты блокировкой экрана гаджета или его перезагрузкой.
Поведение трояна управляется с помощью удаленного сервера с помощью команд в SMS-сообщениях. При этом шифруются как имена центров управления, так и весь трафик. В общем, злоумышленники неплохо потрудились и сделали по-настоящему опасный вирус. Он не только собирает информацию об устройствах жертв и отсылает сообщения, но и удаляет приложение по команде, инициирует платные подписки, встраивает рекламу, выполняет DDoS-атаки, устанавливает фильтры на звонки и даже осуществляет исходящие вызовы. Все это без ведома пользователя и каких-либо запросов.
Дабы обезопасить свой Android-гаджет от подобных угроз, пользователю как минимум необходимо скачивать программы и игры только с Google Play и других официальных магазинов приложений. Особенно серьезно к угрозе следует отнестись тем, у кого к Google-аккаунтам привязаны пластиковые карты или на устройстве хранится какая-то конфиденциальная информация. Финансовый риск в случае с трояном Podec намного выше стоимости легитимного приложения.
Узнайте больше информации о трояне Podec на сайте «Лаборатории Касперского».