Новые трояны воруют деньги россиян

В процессе подготовки отчета «Развитие информационных угроз во втором квартале 2017 года» были обнаружены сразу 4 новых трояна, которые используют платные подписки для кражи денег со счетов. Зловреды маскируются под популярные программы, поэтому многие могут клюнуть на эту уловку — будьте осторожны.

Новые лица, старые методы

Итак, знакомьтесь: Trojan-Clicker.AndroidOS.Ubsod, Xafecopy, Autosus и Podec. Все они работают примерно одинаково — используя WAP-биллинг.

Вирусы маскируются под повседневные приложения, например, оптимизаторы расхода аккумулятора (см. ниже). Пока программа якобы работает, троян пытается подписать пользователя на платные услуги. Поэтому не стоит посещать подозрительные сайты, открывать ссылки от неизвестных номеров и почтовых ящиков и лучше отключить установку приложений из неизвестных источников в настройках Android.

Пример зараженного приложения — Battery Master
Пример зараженного приложения — Battery Master

Что такое WAP-биллинг

Обнаруженные трояны пользуются услугой WAP-биллинг. Она позволяет подписывать пользователя на платные, но зачастую бесполезные услуги. Для этого даже не нужно подключать банковскую карту — деньги списываются с баланса лицевого счета. Но злоумышленники могут получить доступ к средствам с карты, если у пользователя настроено автоматическое пополнение баланса. Деньги будут сниматься, пока не закончатся на счету.

Обычно страницы для оформления подписки содержат только одну кнопку подтверждения и информацию о платеже мелким шрифтом. Так что пользователи либо добровольно подписываются на платные услуги, либо по невнимательности. Но если смартфон заражен вирусом, то даже не нужно подтверждения от владельца устройства, отмечает эксперт «Лаборатории Касперского» Роман Унучек, который и рассказал о 4 новых троянах.

Как работает вирус

Трояны сначала включают мобильную передачу данных, потому что WAP-биллинг не работает при подключении по Wi-Fi. Далее они открывают веб-страницы с платными подписками, оформляют платные услуги и перехватывают СМС-сообщения от оператора, чтобы скрыть уведомления о подписке. Некоторые из них получают права администратора, чтобы вирус было сложнее удалить. Такие вирусы появились давно, но эксперт отметил резкий рост атак на пользователей из России и других стран мира.