Panda Security сообщила о новой массовой атаке на пользователей Android. По данным компании, угроза исходит из соцсети Facebook, где киберпреступники рекламировали набор приложений.

Когда пользователи заходят в Facebook со своих мобильных устройств на Android, им показываются сообщения такими названиями как «Хотите узнать, как посмотреть чаты Ваших контактов в WhatsApp? Узнайте здесь!» или «Хотите скрыть Ваш статус подключения в WhatsApp? Скачайте данное приложение, и люди не смогут увидеть Вас». Если пользователь переходит по ссылке этого объявления, то он перенаправляется в поддельный магазин приложений Google Play. Далее, думая, что он находится на нужном сайте, пользователь скачивает бесплатное приложение, которое оказывается трояном, подписывающим пользователей на платный SMS-сервис без их ведома.

По данным технического директора PandaLabs в Panda Security Луиса Корронса, злоумышленники используют опции таргетированной рекламы в социальной сети. «В этом случае рекламное объявление показывается только пользователям определенной страны, подключающимся к социальной сети с мобильного устройства Android. Мы провели тесты, пытаясь подключиться к этому же аккаунту с ПК, iPad, iPhone и Android, в результате чего было установлено, что эти рекламные объявления показывались только при использовании операционной системы Google», – заметил Корронс.

Троян следит за всеми входящими сообщениями, полученные смартфоном или планшетом. Затем как только попадается сообщение от SMS-сервиса, оно перехватывается и удаляется. Таким образом, пользователь даже не знает, на что он подписан.

Так как подобный механизм не работает на новой версии Android 4.4 (KitKat), создатели вируса продумали другой план дейтвий. Как только приходит нужное сообщение телефон переводится в беззвучный режим на 2 секунды, затем входящее SMS помечается прочитанным. Троян содержит счетчик сообщений, поэтому из первого SMS программа считывает подтверждающий PIN-код и регистрирует жертву на специальном сайте для активации платного сервиса.

Помимо этого, троянская программа удаляет все сообщения с номера 22365, который является еще одним платным сервисом. Таким образом вирус устраняет своего конкурента: если другое троянское приложение попробует зарегистрироваться на SMS-сервисе, то просто не сможет этого сделать из-за блокировки сообщений с PIN-кодом.

Как отмечают в Panda Security, злоумышленники использовали в качестве приманки не только WhatsApp, но и другие заголовки, например, «удивительное видео», «трюки с Candy Crush» или «трюки с Angry Birds».