Группа злоумышленников, известная под именем AsiaHitGroup, выпустила за этот год уже третью волну мошеннических приложений в Google Play. На этот раз хакеры использовали фоновые (и не видимые пользователю) push-уведомления, чтобы подписать жертву на премиальную мобильную подписку.
![](https://resizer.mail.ru/p/0c432c3a-ed27-54eb-82bc-c330f24b9bcc/AQAKXUfvxKRdSAlCZ95SJzpX3mhnDxtH_KttqGZZurIi26TCWRtJn3VecE9Y37oe_m7NIfXcWhjO2ldoRK9p3cx9mxs.png)
Атака была раскрыта экспертами компании McAfee, которые выявили в Google Play вредоносный функционал Sonvpay.C. Вредоносное ПО скрывалось под видом 15 различных приложений, которые представляли собой разные инструменты, начиная от мобильной точки доступа Wi-Fi до сканера QR-кода. McAfee полагает, что суммарно вредоносные приложения были загружены около 50 000 раз и, возможно, AsiaHitGroup смогла заработать на них порядка 145 000 долларов.
Атака нацелена на Россию, Таиланд и Малайзию, на пользователей из других стран она не распространяется. Сейчас вредоносное ПО удалено из магазина, однако в McAfee отметили, что зловред вновь появлялся там под видом рингтона популярной песни Despacito.
![](https://resizer.mail.ru/p/3e43b7d6-436f-5aaf-9136-cb8e8d094b79/AQAKP7Gze5paNLouIubwIPgdAYVLkmGv77TgX0g5ocQrw8esyVVMPMRw7Ix-dy7skCQbnnjcXbvgfM2_Y1TV4cnHERU.png)
Отмечается, что зараженные приложения, скачанные из Google Play, были рабочими, однако функционал Sonvpay проявлялся в виде поддельной формы обновления.
![](https://resizer.mail.ru/p/83115343-e601-5a61-95ca-ca0c2cca2b32/AQAKfkAgGbqyXKVvilbl3lR9Hb_jKBdYXyPLHiVapD0KULhbAAIRkf9tIq0k1Zdt1bFG67_cTFyh3Fg1wWjhSRTX470.png)
Даже если жертва чувствовала подвох и не нажимала на единственную кнопку «пропустить», ее все равно подписывали на платную на премиум-службу, используя WAP-биллинг и SMS-фрод. Это позволяет напрямую списывать деньги с мобильного счета, и при этом пользователи ничего не обнаружат в истории отправленных сообщений.
Читайте также: