Россиян атакует троянец, который создаёт фейковые отзывы о приложениях с помощью службы поддержки специальных возможностей Android

Чаще всего в декабре 2019 года зловред, получивший название Shopper, атаковал российских пользователей. Их доля составила 31%. На втором месте оказалась Бразилия с 18% заражённых пользователей, а на третьем — Индия с 13%.

Троянец эксплуатирует службу поддержки специальных возможностей Google Accessibility Service, созданную с целью облегчить использование приложений людям с ограниченными возможностями. Сервис, например, позволяет озвучивать текст в интерфейсе приложений, чтобы люди, которые не могут читать, могли слышать их содержимое. Однако злоумышленники используют его возможности для взаимодействия с интерфейсом системы и приложениями. Shopper может перехватывать данные, появляющиеся на экране, нажимать кнопки и даже имитировать жесты пользователя.

Эксперты «Лаборатории Касперского» предполагают, что троянец может попадать на устройство из мошеннических рекламных объявлений или из сторонних магазинов приложений при попытке скачать якобы легитимную программу. Вредонос притворяется системным ПО, например сервисами для очистки и ускорения работы смартфона, и маскируется под приложение с названием ConfigAPKs. Троянец собирает информацию об устройстве жертвы и отправляет её на серверы злоумышленников, а затем получает команды, в результате исполнения которых возможна реализация следующих сценариев:

• Google- или Facebook-аккаунты владельца устройства могут быть использованы без его ведома для регистрации в приложениях для шопинга или развлечения;
• могут быть созданы фейковые отзывы на приложения;
• может быть выключена функция Google Play Protect, которая проверяет на безопасность приложения из магазина Google Play до начала загрузки;
• могут быть открыты ссылки, полученные от удалённого сервера в невидимом окне;
• могут выскакивать многочисленные окошки с рекламой и создаваться ярлыки для рекламных приложений в меню приложений;
• без ведома владельца из Google Play могут быть скачаны и установлены приложения;
• ярлыки установленных приложений могут быть изменены на ярлыки рекламных страниц.

«Сейчас Shopper в основном нацелен на онлайн-магазины, а его действие ограничивается распространением рекламы, созданием фейковых отзывов и подтасовыванием рейтингов, но нет гарантий, что его авторы остановятся на этом и не будут модифицировать зловред, добавляя в него новые функции. В любом случае, мы рекомендуем пользователям внимательно относиться к тому, из каких ресурсов они скачивают приложения и, по возможности, установить на смартфон защитное решение, чтобы минимизировать риски заражения», — отметил Игорь Головин, антивирусный эксперт «Лаборатории Касперского».

Продукты «Лаборатории Касперского» блокируют это вредоносное ПО. Чтобы снизить риск заражения подобными угрозами, пользователям рекомендуется:

• внимательно проверять те программы, которые просят доступ к сервису Google Accessibility Service;
• не скачивать приложения из сторонних источников, даже если они активно рекламируются;
• использовать надёжное мобильное защитное решение, которое умеет распознавать потенциально опасные или сомнительные запросы от приложений и объяснять риски, связанные с разными типами разрешений, например Kaspersky Security Cloud.