Из Google Play удалили вредоносный клон Telegram

Приложение MobonoGram 2019 маскировалось под мессенджер и запускало несанкционированные процессы на Android-смартфонах.

Модераторы Google Play удалили из репозитория вредоносное приложение, маскировавшееся под неофициальный клиент мессенджера Telegram. На деле программа MobonoGram 2019 втайне от владельца смартфона запускала несколько процессов, а также открывала множество веб-сайтов. По данным ИБ-специалистов фальшивку успели скачать более 100 тыс. пользователей Android-устройств.

Попав на смартфон, зловред ожидает одного из трех событий — загрузки устройства, установки или обновления какого-либо приложения, — после чего инициирует пять фоновых процессов. Если какой-либо из них принудительно завершает пользователь или система, через два часа он запускается вновь.

Зловред обращается к командному серверу и получает от него JSON-файл, содержащий URL сайта, строку с переменной User-Agent и три JavaScript-сценария. MobonoGram 2019 пытается открыть целевой веб-ресурс, используя заданные параметры заголовка, и выполняет это действие в бесконечном цикле, отправляя запросы сам на себя.

По мнению ИБ-экспертов, три скрипта предназначены для кликов по рекламным баннерам, а цель авторов приложения — получение дохода от криминальных партнерских схем. На момент исследования скрипты не выполняли целевых действий, однако создатели зловреда могут активировать их в любой момент. Исследователи утверждают, что адреса и содержимое целевых сайтов изменяются в зависимости от местоположения устройства, а подстановка фальшивой переменной User-Agent необходима для маскировки реального источника запроса.

В качестве автора вредоносного приложения указана компания RamKal Developers. До удаления из Google Play создатели MobonoGram 2019 успели выпустить как минимум пять обновлений программы. Кроме того, ИБ-специалисты обнаружили в репозитории мессенджер Whatsgram с теми же функциями и загруженный с того же аккаунта. Еще несколько аналогичных программ, выложенных разработчиком PhoenixAppsIR, нашлись в неофициальных хранилищах.

В прошлом году администраторы Google Play уже удаляли фальшивый Telegram. Приложение Telegraph Chat подражало оригинальному мессенджеру визуально, однако после установки забрасывало жертву многочисленными рекламными сообщениями.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля