«С помощью зловреда, получившего название Shopper, злоумышленники распространяют многочисленные рекламные объявления и без ведома владельцев устанавливают на их устройства различные приложения, а также оставляют фейковые отзывы в Google Play от их имени», – сообщили в «Лаборатории Касперского».
Троянец использует службу поддержки специальных возможностей Google Accessibility Service, которая создавалась, чтобы облегчить использование приложений людям с ограниченными возможностями. В частности, сервис позволяет озвучивать текст в интерфейсе приложений для людей, которые не могут читать. Однако злоумышленники смогли использовать его возможности для взаимодействия с интерфейсом системы и приложениями.
Вредонос притворяется системным ПО. Например, сервисами для очистки и ускорения работы смартфона. Shopper собирает информацию об устройстве жертвы и отправляет её на серверы злоумышленников, а затем получает команды. Он может перехватывать данные, появляющиеся на экране, нажимать кнопки.
«Сейчас Shopper в основном нацелен на онлайн-магазины, а его действие ограничивается распространением рекламы, созданием фейковых отзывов и подтасовыванием рейтингов, но нет гарантий, что его авторы остановятся на этом», – пояснил Игорь Головин, антивирусный эксперт «Лаборатории Касперского».
Эксперты по кибербезопасности предупреждают, что новый зловред помимо использования аккаунтов для шопинга способен выключать функцию Google Play Protect, которая проверяет на безопасность приложения из магазина Google Play до начала загрузки. Кроме того, он может открывать ссылки, полученные от удалённого сервера в невидимом окне и менять ярлыки приложений на ярлыки рекламных страниц.
О происхождении Shopper в «Лаборатории Касперского» отвечают лаконично – «обнаружили при анализе потенциально подозрительных файлов».