Услуга поневоле: «Лаборатория Касперского» рассказывает, как троянцы-подписчики атакуют российских пользователей

«Лаборатория Касперского» изучила ландшафт мобильных троянцев, специализирующихся на скрытых подписках на платные услуги: большинство пользователей, столкнувшихся с такими зловредами в 2021 — 2022 годах, по данным компании*, находилось в России (27,32%). 

Чаще всего в результате действий троянцев со счёта пользователя без его ведома снимается оплата за различные легитимные услуги, а злоумышленники получают за это определённый процент. Однако бывает и так, что подобные зловреды оформляют подписку на «услуги» самих атакующих. Среди троянцев, получивших распространение в России, эксперты отмечают, в частности, MobOk, GriftHorse.l и GriftHorse.ae.

Зловред MobOk, попав на устройство, запрашивает доступ к СМС или push-уведомлениям. Это позволяет ему перехватывать коды подтверждения для оформления подписки. Далее в невидимом окне открывается страница подписки и в неё подставляется код подтверждения. MobOk умеет обходить тест CAPTCHA: для распознавания кода на картинке троянец отправляет её на специальный сервис.

Троянец GriftHorse.l примечателен тем, что оформляет подписку на «услуги» самих злоумышленников — такое случается, если потенциальная жертва пропустит или невнимательно прочитает пользовательское соглашение. Зловред распространяется через Google Play, например под видом приложения, якобы предлагающего составить индивидуальный план похудения всего за 29 рублей. Однако, если прокрутить страницу оплаты, можно увидеть, что доступ к «сервису» предоставляется по подписке с использованием автоплатежа, а не разовой оплаты. В комментариях к приложению пользователи жалуются, что отменить оформленную подписку невозможно, а некоторые отмечают, что не получили услугу после оплаты.

Ещё один троянец, GriftHorse.ae, хотя и относится к тому же семейству, ведёт себя иначе. Зловред выдаёт себя за приложения для восстановления удалённых файлов, редактирования фотографий и видео, моргания вспышкой при входящем звонке, навигации, сканирования документов. Однако единственное, что умеют эти программы, — запрашивать номер телефона якобы для входа и оформлять подписку при нажатии кнопки «Войти». Подписка оплачивается с мобильного счёта, поэтому для её оформления достаточно номера телефона. Распространяется GriftHorse.ae также через официальный магазин приложений.

«Несмотря на то, что подписки, на которые оформляют пользователей, могут быть недорогими, такую угрозу не стоит недооценивать. Если злоумышленники получат доступ к СМС или push-уведомлениям, данные владельца устройства окажутся под угрозой. Чтобы не попасться на удочку злоумышленников, мы рекомендуем оставаться внимательными: прочитать пользовательское соглашение прежде, чем оплачивать какую-либо услугу, и использовать надёжное защитное решение, в том числе на мобильных устройствах», — комментирует Игорь Головин, исследователь мобильных угроз в «Лаборатории Касперского».

Чтобы избежать нежелательных подписок, «Лаборатория Касперского» рекомендует пользователям соблюдать базовые правила кибербезопасности:

-не устанавливайте приложения из неофициальных источников — это позволит значительно повысить безопасность устройства;

-официальные площадки, к сожалению, также не дают полной гарантии, поэтому прежде чем скачать приложения из Google Play или других магазинов, обязательно почитайте отзывы о нём и посмотрите оценки;

-полезно также проверить дату, когда приложение появилось на платформе. Магазины активно удаляют опасные подделки, поэтому злоумышленники постоянно создают новые версии заражённых программ. Если интересующее приложение появилось в магазине совсем недавно, это повод отнестись к нему настороженно;

-давайте приложениям минимальный доступ к устройству; прежде чем разрешить ему читать ваши уведомления или СМС, задумайтесь, а действительно ли это необходимо;

-используйте надёжные решения, в том числе и на мобильных устройствах, такие как Kaspersky Internet Security для Android.

* Данные на основе срабатывания решений «Лаборатории Касперского» в январе 2021 года — марте 2022 года

Материал подготовлен  АО "Лаборатория Касперского"