Доктор Веб виявив троянця, що завантажує в Google Chrome сумнівні веб-сайти
Доктор Веб виявив троянця, що завантажує в Google Chrome сумнівні веб-сайти
Фахівці компанії "Доктор Веб" виявили троянця Android.FakeApp.174, який завантажує в Google Chrome сумнівні веб-сайти, де користувачів підписують на рекламні повідомлення. Вони приходять навіть якщо браузер закритий і може бути помилково прийняті за системні. Такі повідомлення не тільки заважають роботі з Android-пристроями, але й здатні призвести до крадіжки грошей та конфіденційної інформації.
Технологія Web Push дозволяє сайтам за згодою користувача надсилати йому повідомлення, навіть якщо відповідні веб-сторінки не відкриті у браузері. При роботі з нешкідливими ресурсами ця функція корисна та зручна. Наприклад, соціальні мережі таким чином можуть інформувати про нові повідомлення, а новинні агентства про свіжі публікації. Проте зловмисники та несумлінні рекламодавці зловживають їй, поширюючи з її допомогою рекламу та шахрайські повідомлення, які надходять зі зламаних чи шкідливих сайтів.
Сповіщення підтримуються в браузерах як ПК та ноутбуків, так і мобільних пристроїв. Зазвичай жертва потрапляє на сумнівний ресурс-спамер, перейшовши за спеціально сформованим посиланням або рекламним банером. Android.FakeApp.174 — один із перших троянців, які «допомагають» зловмисникам збільшити кількість відвідувачів цих сайтів та підписати на такі повідомлення саме користувачів смартфонів та планшетів.
Android.FakeApp.174 поширюється під виглядом корисних програм – наприклад, офіційного програмного забезпечення відомих брендів. Дві такі модифікації троянця вірусні аналітики "Доктор Веб" виявили на початку червня в каталозі Google Play. Після звернення до Google шкідливі програми були видалені, але їх встигли завантажити понад 1100 користувачів.
Під час запуску троянець завантажує в браузері Google Chrome веб-сайт, адреса якого вказана в налаштуваннях шкідливої програми. З цього сайту, відповідно до його параметрів, по черзі виконується кілька перенаправлень на сторінки різних партнерських програм. На кожній з них користувачеві пропонується дозволити отримання повідомлень. Для переконливості жертві повідомляється, що виконується певна перевірка (наприклад, що користувач - не робот), або дається підказка, яку кнопку діалогового вікна необхідно натиснути. Це робиться для збільшення числа успішних передплат.
Після активації підписки сайти починають надсилати користувачеві численні повідомлення сумнівного змісту. Вони приходять навіть якщо браузер закритий, а сам троянець уже був видалений, і відображаються на панелі стану операційної системи Їхній вміст може бути будь-яким. Наприклад, помилкові повідомлення про надходження певних грошових бонусів або переказів, про нові повідомлення в соцмережах, рекламу гороскопів, казино, товарів та послуг і навіть різні «новини».
Багато з них виглядають як справжні сповіщення реальних онлайн-сервісів та програм, які можуть бути встановлені на пристрої. Наприклад, у них відображається логотип того чи іншого банку, сайту знайомств, агентства новин або соціальної мережі, а також привабливий банер. Власники Android-пристроїв можуть отримувати десятки таких спам-повідомлень на день.
Незважаючи на те, що в цих повідомленнях зазначена й адреса сайту, з якого воно надійшло, непідготовлений користувач може просто його не помітити або не надати цьому особливого значення.
При натисканні на таке повідомлення користувач перенаправляється на сайт із сумнівним контентом. Це може бути реклама казино, букмекерських контор та різноманітних додатків у Google Play, пропозиція знижок та купонів, підроблені онлайн-опитування та фіктивні розіграші призів, сайт-агрегатор партнерських посилань та інші онлайн-ресурси, які відрізняються залежно від країни перебування користувача. /p>
Багато з цих ресурсів замішано у відомих шахрайських схемах крадіжки грошей, проте зловмисники здатні у будь-який час організувати атаку для викрадення конфіденційних даних. Наприклад, надіславши через браузер «важливе» повідомлення від імені банку чи соціальної мережі. Потенційна жертва може прийняти підроблене повідомлення за сьогодення, натисне на нього та перейде на фішинговий сайт, де у неї попросять вказати ім'я, логін, пароль, адресу електронної пошти, номер банківської картки та інші конфіденційні відомості.
Фахівці «Доктор Веб» вважають, що зловмисники активніше використовуватиме цей метод просування сумнівних послуг, тому користувачам мобільних пристроїв при відвідуванні веб-сайтів слід уважно ознайомитися з їх вмістом і не підписуватися на повідомлення, якщо ресурс незнайомий або виглядає підозрілим.
Якщо ж передплата небажаних спам-повідомлень вже відбулася, потрібно виконати такі дії: зайти в налаштування Google Chrome, вибрати опцію «Налаштування сайтів» і далі — «Сповіщення»; у списку веб-сайтів і повідомлень, що з'явився, знайти адресу цікавого ресурсу, натиснути на нього і вибрати опцію «Очистити і скинути».
Антивірусні продукти Dr.Web для Android детектують і видаляють усі відомі модифікації Android.FakeApp.174, тому для користувачів Dr.Web цей троянець небезпеки не становить.
