Приложения на Google Play для кражи паролей платежных сервисов
По сообщению компании ESET, ее специалисты обнаружили на Google Play новые опасные приложения. Программы специализируются на краже данных аккаунтов PayPal и Paxful и действуют при помощи социальной инженерии.
Первое вредоносное приложение, Boost Views, продвигалось в Google Play как инструмент для заработка на YouTube. После запуска приложения пользователю предлагалось выбрать одну из двух функций: смотреть видео с YouTube, получая за это «зарплату», или увеличить число просмотров собственного канала. Программу скачали до 100 тыс. раз.
Для просмотра видео с YouTube в приложение встроен видеоплеер Viewer. Стоимость услуг пользователей оценивается в 0,0001–0,0005 долл. в минуту (такие расценки действовали во время исследования), заработанная сумма отображается в окне под плеером.
Накопив 0,09 доллара, исследователи попытались перевести их на PayPal – для этого в приложении предусмотрена специальная форма авторизации. Получить «зарплату» не удалось – после ввода логина и пароля приложение выдавало сообщение об ошибке, в то время как учетные данные PayPal отправлялись на удаленный сервер разработчиков.
Менее востребованная функция приложения – увеличить трафик YouTube-канала пользователя. Стоимость услуги начинается от 3,29 долл., чтобы оплатить ее, нужно ввести данные банковской карты – эта информация также поступит в распоряжение разработчиков.
Второе приложение, PaxVendor, использовало популярность биткоин-обменника Paxful. Программа собирала логины и пароли от этого сервиса при помощи фальшивого экрана авторизации и не имела других функций. После ввода учетных данных пользователь видит сообщение об ошибке, тем временем операторы PaxVendor смогут войти в скомпрометированный аккаунт. В ходе исследования ESET была зафиксирована попытка входа в тестовый аккаунт Paxful с территории Украины.
После сообщения ESET вредоносные приложения были удалены с Google Play. Антивирусные продукты ESET NOD32 детектируют вредоносные приложения как Trojan.Android/FakeApp.FK и Android/FakeApp.FI соответственно.