«Лаборатория Касперского» обнаружила вредоносную троянскую программу, которая распространяет рекламу и без ведома пользователя устанавливает на смартфон различные приложения, а затем оставляет о них фейковые отзывы в Google Play. Об этом Rusbase рассказал представитель компании.

Троян получил название Shopper. В декабре 2019 года вирус чаще всего атаковал российских пользователей (31% случаев). На втором месте оказалась Бразилия с 18% зараженных пользователей, а на третьем — Индия с 13%.

Вирус использует службу поддержки специальных возможностей Google Accessibility Service, созданную для людей с ограниченными возможностями. Сервис позволяет озвучивать текст в интерфейсе приложений, чтобы люди, которые не могут читать, могли слышать их содержимое.

Злоумышленники используют Google Accessibility Service для взаимодействия с интерфейсом системы и приложениями. Shopper может перехватывать данные, появляющиеся на экране, нажимать кнопки и даже имитировать жесты пользователя.

Эксперты «Лаборатории Касперского» предполагают, что троян попадает на устройство из мошеннических рекламных объявлений или из сторонних магазинов приложений при попытке скачать якобы легитимную программу. Вирус притворяется системным ПО и маскируется под приложение с названием ConfigAPKs.

В результате заражения возможна реализация следующих сценариев:

Google- или Facebook-аккаунты владельца устройства могут быть использованы без его ведома для регистрации в приложениях для шопинга или развлечения;
создание фейковых отзывов на приложения;
выключение функции Google Play Protect, которая проверяет на безопасность приложения из магазина Google Play до начала загрузки;
открытие ссылок, полученных от удаленного сервера в невидимом окне;
появление многочисленных окошек с рекламой и создание ярлыков для рекламных приложений в меню приложений;
скачивание приложений из Google Play без ведома владельца;
изменение ярлыков установленных приложений на ярлыки рекламных страниц.