Let op: Malware Android-applicatie misleidt gebruikers voor aankopen

Οzijn onderzoekers Kaspersky een toepassing gedetecteerd Trojaans die gebruikers intimideert met ongevraagde advertenties en de installatie van applicaties voor online winkelen vergemakkelijkt - waardoor zowel gebruikers als adverteerders worden misleid. Deze kwaadaardige applicatie "bezoekt" smartphone-appstores, "downloadt" en start applicaties en laat valse beoordelingen achter van de kant van de gebruiker, allemaal zonder medeweten van de eigenaar van het apparaat.

Nu de winterkortingen naderen, moeten zowel consumenten als merken op hun hoede zijn. Bij het kiezen van winkels zijn gebruikers sterk afhankelijk van beoordelingen, terwijl retailers hun promotie- en advertentiebudget verhogen. Het blijkt dat niemand volledig vertrouwen kan hebben in wat ze op internet zien, aangezien een nieuwe Trojaanse app de beoordelingen en installaties van populaire online shopping-apps verhoogt en talloze advertenties verspreidt die gebruikers kunnen irriteren.

De Trojaans, met titel "Shopper", trok de aandacht van onderzoekers na het uitgebreide gebruik van de toegankelijkheidsservice Kopen Google Reviews. Met de service kunnen gebruikers een stem instellen om de inhoud van de applicatie te lezen en de interactie met de gebruikersinterface te automatiseren - ontworpen om mensen met een handicap te helpen. In de handen van aanvallers vormt deze operatie echter een ernstige bedreiging voor de eigenaar van het apparaat.

Eenmaal gelicentieerd om de service te gebruiken, kan de malware bijna onbeperkte mogelijkheden hebben om te communiceren met de systeeminterface en applicaties. Het kan gegevens opnemen die op het scherm worden weergegeven, op knoppen drukken en zelfs gebruikersbewegingen simuleren. Het is echter nog niet bekend hoe de kwaadaardige applicatie zich verspreidt, zeggen de onderzoekers Kaspersky ze gaan ervan uit dat het door apparaateigenaren kan worden gedownload van frauduleuze advertenties of app-winkels van derden, terwijl ze proberen een legitieme app te downloaden.

De applicatie vermomt zichzelf als een systeemapplicatie en gebruikt een systeempictogram met de naam "Conpaks”Te verbergen voor de gebruiker. Nadat het scherm is ontgrendeld, wordt de applicatie gestart, die informatie over het apparaat van het slachtoffer verzamelt en naar de servers van de aanvaller stuurt. De server retourneert de opdrachten die door de toepassing moeten worden uitgevoerd. Afhankelijk van de opdrachten kan de toepassing:

• Gebruik het Google- of Facebook-account van een apparaateigenaar om u aan te melden voor populaire winkel- en entertainmenttoepassingen, waaronder AliExpress, Lazada, Zalora, Shein, JOOM, Likee en Alibaba.
• Laat app-recensies aan Google Play namens de eigenaar van het apparaat.
• Om zijn gebruiksrechten te controleren Toegankelijkheidsservice. Als er geen recht wordt verleend, stuurt het een phishing-verzoek naar hen.
• Naar uitschakelen zij Google Play-beveiliging, een functie die een beveiligingscontrole uitvoert op applicaties uit de Google Play Store voordat ze worden gedownload.
• Open links die zijn ontvangen van de externe server in een onzichtbaar venster en verberg ze in het toepassingsmenu na het deblokkeren van een reeks schermen.
• Geef advertenties weer wanneer het apparaatscherm wordt ontgrendeld en advertenties in het app-menu worden getagd.
• Open en download advertenties op Google Play.
• Vervang de tags van de geïnstalleerde applicaties door de tags van de geadverteerde pagina's.

Zoals gezegd door Igor Golovin, Kaspersky Malware Analyzer.