Експерти компанії «Доктор Веб» розповіли про виявлення трояна Android.FakeApp.174 , Який завантажує в Google Chrome сумнівні сайти, де користувачів підписують на рекламні повідомлення. Причому повідомлення приходять навіть якщо браузер закритий і можуть бути помилково прийняті за системні. Такі повідомлення не тільки заважають роботі з Android-пристроями, а й здатні привести до крадіжки грошей і конфіденційної інформації.

Технологія Web Push дозволяє сайтам за згодою користувача відправляти йому повідомлення, навіть коли відповідні сторінки не відкриті в браузері. При роботі з нешкідливими ресурсами ця функція корисна і зручна. Наприклад, соціальні мережі таким чином можуть інформувати про нові повідомлення, а новинні агентства - про свіжі публікаціях. Однак зловмисники і недобросовісні рекламодавці зловживають їй, поширюючи з її допомогою рекламу і шахрайські повідомлення, які надходять зі зламаних або шкідливих сайтів.

Ці повідомлення підтримуються в браузерах як ПК і ноутбуків, так і мобільних пристроїв. Зазвичай жертва потрапляє на сумнівний ресурс, перейшовши по спеціально сформованої посиланням або рекламному банеру. Android.FakeApp.174 - один з перших троянів, які «допомагають» зловмисникам збільшити число відвідувачів цих сайтів і підписати на такі повідомлення саме користувачів смартфонів і планшетів.

Малваре поширюється під виглядом корисних програм - наприклад, офіційного ПО відомих брендів. Дві такі модифікації трояна аналітики виявили на початку червня в каталозі Google Play. Після звернення в корпорацію Google шкідливі програми були видалені, але їх встигли завантажити понад 1100 користувачів.

При запуску троян завантажує в браузері Google Chrome сайт, адреса якого вказана в налаштуваннях шкідливого програми. З цього сайту, відповідно до його параметрами, по черзі виконується кілька перенаправлень на сторінки різних партнерських програм. На кожній з них користувачеві пропонується дозволити отримання повідомлень. Для переконливості жертві повідомляється, що виконується якась перевірка (наприклад, що користувач - не робот), або просто дається підказка, яку кнопку діалогового вікна необхідно натиснути. Це робиться для збільшення числа успішних підписок. Приклади таких запитів показані на зображеннях нижче.

Після активації підписки сайти починають відправляти користувачеві численні повідомлення сумнівного змісту. Вони приходять навіть коли браузер закритий, а сам троян вже був вилучений, і відображаються в панелі стану операційної системи. Їх вміст може бути будь-яким. Наприклад, помилкові повідомлення про надходження деяких фінансових бонусів або перекладів, про нові повідомлення в соцмережах, реклама гороскопів, казино, товарів і послуг і навіть різні «новини».

Багато з них виглядають як справжні повідомлення реальних онлайн-сервісів і додатків, які можуть бути встановлені на пристрої. Наприклад, в них відображається логотип того чи іншого банку, сайту знайомств, новинного агентства або соціальної мережі, а також привабливий банер. Власники Android-пристроїв можуть отримувати десятки таких спам-повідомлень в день.

Незважаючи на те, що в цих повідомленнях вказано і адреса сайту, з якого воно прийшло, непідготовлений користувач може просто його не помітити, або не надати цьому особливого значення. Приклади шахрайських повідомлень:

При натисканні на таке повідомлення користувач перенаправляється на сайт із сумнівним змістом. Це може бути реклама казино, букмекерських контор і різних додатків в Google Play, пропозиція знижок і купонів, підроблені онлайн-опитування і фіктивні розіграші призів, сайт-агрегатор партнерських посилань і інші ресурси, які різняться в залежності від країни перебування користувача. Приклади таких сайтів представлені нижче.

Багато з цих ресурсів замішані в відомих шахрайських схемах крадіжки грошей, проте зловмисники здатні в будь-який час організувати атаку для викрадення конфіденційних даних. Наприклад, відправивши через браузер «важливе» повідомлення від імені банку або соціальної мережі. Потенційна жертва може прийняти підроблене повідомлення за сьогодення, натисне на нього і перейде на фішингових сайтів, де у неї попросять вказати ім'я, логін, пароль, адресу електронної пошти, номер банківської карти та інші конфіденційні відомості.

Фахівці «Доктор Веб» вважають, що зловмисники будуть активніше використовувати цей метод просування сумнівних послуг, тому користувачам мобільних пристроїв при відвідуванні сайтів слід уважно ознайомитися з їх вмістом і не підписуватися на повідомлення, якщо ресурс незнайомий або виглядає підозрілим.

джерело