API Android используется злоумышленниками для спам-атак push-уведомлениями
Фишеры и спамеры нашли способ использовать API ОС Android для рассылки рекламных сообщений под видом уведомлений о пропущенных звонках. Обман сводится к подмене иконки.
Пользователи Android подверглись спам-атаке со стороны злоумышленников, нашедших способ эксплуатировать API мобильной операционной системы, предназначенные для вывода push-уведомлений (Notifications и Push).
Спамерские сообщения рассылаются через Google Chrome для Android. При этом фишеры смогли подменить иконку уведомлений, так что пользователь получает якобы уведомления о пропущенных звонках, хотя рядом с иконкой фигурирует и название Chrome, и ссылка на домен, откуда исходит сообщение. В итоге оказывается, что это фейковое сообщение о выигрыше дармового iPhoneXS.
Уведомления могут выводиться локальным приложением, даже если оно в данный момент не активно, или удаленным сервером. Акцию спамеров обнаружил сервис компании Lookout Phishing AI.
Push-сообщения приходят только в том случае, если пользователь сам разрешил тому или иному домену присылать их. Это существенно ограничивает возможности спамеров. Однако если им каким-то образом удается скомпрометировать популярный сайт и выудить у пользователя согласие на отправку ему уведомлений, то у злоумышленников появляются существенные козыри.
На данный момент за отправкой Push-спама замечены домены consumertestconnect.com, foundmoneyguide.com, getitfree-samples.com, click4riches.info, yousweeps.com.
Не все сообщения от этих доменов используют трюк с поддельной иконкой: видимо, злоумышленники пытаются использовать различные варианты спама, чтобы понять, что эффективнее.
Эксперты Lookout указывают, что этот метод вряд ли сработает на iOS, поскольку штатный браузер устройств AppleSafari не поддерживает push-уведомления в полной мере. Зато жертвами аналогичных кампаний легко могут стать пользователи десктопов, особенно на базе Windows.
Единственный пока способ защититься — не давать согласие на push-уведомления на сайтах, которые могут вызывать хотя бы минимальные подозрения, а если согласие все-таки выдано, то смотреть внимательнее на то, откуда исходит уведомление.