Вредоносное ПО на Android Market
По сообщению компании «Доктор Веб», в официальном каталоге приложений Android Market обнаружено большое количество вредоносных программ. Все они относятся к семейству троянцев Android.SmsSend, способных отправлять СМС-сообщения на платные короткие номера без согласия пользователя. После обращения в компанию Google вредоносные приложения были оперативно удалены.
Единичные случаи появления в Android Market троянцев этого семейства отмечались и раньше, такое массовое их распространение зафиксировано впервые. На сегодняшний день компания «Доктор Веб» сообщает о 33 выявленных в каталоге вредоносных программах данного типа, созданных двумя разными разработчиками. Для распространения угрозы злоумышленники используют интересную схему: большинство вредоносных программ позиционируется как приложения – каталоги изображений, позволяющие изменять фоновый рисунок рабочего стола Android, и они действительно обладают таким функционалом. Тематика предлагаемых картинок самая широкая: от компьютерных игр до фотографий природы. Среди прочих вредоносных приложений встречаются и весьма оригинальные: например, программа для составления гороскопов, диет, программа-фонарик и другие. Впрочем, их интерфейс весьма аскетичен, и наличие хоть какого-то функционала призвано скорее прикрыть истинную цель вирусописателей.
Помимо прочего, злоумышленники используют простой, но эффективный метод, позволяющий увеличить вероятность того, что данные приложения будут замечены. В ключевых словах, которые разработчики добавляют в описания программ, часто встречаются популярные словосочетания, не относящиеся к данному продукту, например, названия игр типа Angry Birds. В результате ссылки на подобные программы часто демонстрируются в первых строках результатов поиска по каталогу Android Market.
Принцип действия вредоносных приложений вполне стандартен: после запуска программы пользователю обычно демонстрируется текст, говорящий о том, что владелец мобильного устройства соглашается с неким условиями, причем само соглашение с перечнем этих условий, как правило, отсутствует. Хитрость заключается в том, что последнее слово в данном тексте представляет собой гиперссылку на страницу с лицензионным соглашением и никак не выделяется на фоне окружающих слов. После подтверждения согласия нажатием на соответствующую кнопку приложение немедленно попытается отправить платное СМС-сообщение.
В приложениях другого разработчика функционал несколько отличается: после запуска на экране устройства появляется вступительный текст и две кнопки: подтверждение согласия с условиями лицензии и вторая, при нажатии на которую должен открываться тест соглашения. Но соглашение располагается на стороннем сайте, который в данный момент не функционирует, поэтому ознакомиться с предлагаемыми условиями пользователь не может. После получения подтверждения приложение немедленно пытается отправить смс-сообщения.
Компания Google уже удалила данные вредоносные программы из каталога Android Market, а необходимые записи внесены в вирусные базы Dr.Web.