Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Приложение MobonoGram 2019 маскировалось под мессенджер и запускало несанкционированные процессы на Android-смартфонах.
Модераторы Google Play удалили из репозитория вредоносное приложение, маскировавшееся под неофициальный клиент мессенджера Telegram. На деле программа MobonoGram 2019 втайне от владельца смартфона запускала несколько процессов, а также открывала множество веб-сайтов. По данным ИБ-специалистов фальшивку успели скачать более 100 тыс. пользователей Android-устройств.
Попав на смартфон, зловред ожидает одного из трех событий — загрузки устройства, установки или обновления какого-либо приложения, — после чего инициирует пять фоновых процессов. Если какой-либо из них принудительно завершает пользователь или система, через два часа он запускается вновь.
Зловред обращается к командному серверу и получает от него JSON-файл, содержащий URL сайта, строку с переменной User-Agent и три JavaScript-сценария. MobonoGram 2019 пытается открыть целевой веб-ресурс, используя заданные параметры заголовка, и выполняет это действие в бесконечном цикле, отправляя запросы сам на себя.
По мнению ИБ-экспертов, три скрипта предназначены для кликов по рекламным баннерам, а цель авторов приложения — получение дохода от криминальных партнерских схем. На момент исследования скрипты не выполняли целевых действий, однако создатели зловреда могут активировать их в любой момент. Исследователи утверждают, что адреса и содержимое целевых сайтов изменяются в зависимости от местоположения устройства, а подстановка фальшивой переменной User-Agent необходима для маскировки реального источника запроса.
В качестве автора вредоносного приложения указана компания RamKal Developers. До удаления из Google Play создатели MobonoGram 2019 успели выпустить как минимум пять обновлений программы. Кроме того, ИБ-специалисты обнаружили в репозитории мессенджер Whatsgram с теми же функциями и загруженный с того же аккаунта. Еще несколько аналогичных программ, выложенных разработчиком PhoenixAppsIR, нашлись в неофициальных хранилищах.
В прошлом году администраторы Google Play уже удаляли фальшивый Telegram. Приложение Telegraph Chat подражало оригинальному мессенджеру визуально, однако после установки забрасывало жертву многочисленными рекламными сообщениями.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |