Китайский троян самостоятельно покупает приложения для Android
f8816371525155ef0cc3037bef51da9e.jpg

Компания Доктор Веб предупредила о распространении нового троянца, поражающего мобильные устройства под управлением ОС Android. Вредоносная программа представляет опасность для абонентов китайского оператора связи China Mobile: инфицировав мобильное устройство, Android.MMarketPay.origin осуществляет покупку приложений в электронном магазине оператора, что существенно сокращает средства на счету абонента, сообщает компания.

Следуя современным тенденциям, оператор China Mobile имеет в своем распоряжении электронный магазин под названием Mobile Market, который содержит как платный, так и бесплатный контент. Mobile Market функционирует вполне стандартным способом: при совершении покупки сервисная система отправляет абоненту специальный код, который необходимо ввести для подтверждения операции.

Это служит мерой предосторожности, например, от случайного или ошибочного приобретения. Стоимость контента в дальнейшем списывается непосредственно с мобильного счета пользователя.

Главная цель новой вредоносной программы Android.MMarketPay.origin - бесконтрольное приобретение платных приложений в этом магазине. Троянец выполняет все действия автоматически, перехватывая необходимые проверочные коды и подтверждая совершение покупок.

Эта вредоносная программа могла быть создана как для увеличения прибыли недобросовестных разработчиков приложений, так и в целях навредить абонентам China Mobile и имиджу самого оператора.

Android.MMarketPay.origin распространяется в модифицированных злоумышленниками Android-программах, которые доступны для загрузки на различных китайских форумах и в каталогах приложений.

Для совершения покупок в магазине Mobile Market пользователь должен быть в нем зарегистрирован и авторизован, однако если мобильное устройство подключено к интернету через сотовую сеть оператора China Mobile, ввод аутентификационных данных для работы не требуется.

Именно поэтому среди функций у модифицированной программы можно встретить возможность изменения настроек APN: внося соответствующие корректировки в параметры системы, троянец может сразу приступать к покупкам.

Доступ к работе с СМС-сообщениями необходим троянцу для перехвата кодов подтверждения. Ко всему прочему, Android.MMarketPay.origin также может обходить проверочные изображения captcha, отправляя их на специальный сервер для анализа.