- Регистрация
- Сообщения
- 736
- Реакции
- 36
Под кажущимися безобидными приложениями в официальном магазине Google Play часто можно найти всевозможные вредоносные программы. К сожалению, даже если платформа тщательно контролируется, модераторы не всегда могут обнаружить эти приложения до того, как они будут опубликованы. Одной из самых популярных разновидностей этого вида вредоносных программ являются трояны-подписчики, которые подписываются на платные услуги без ведома пользователя. Ранее мы уже писали о наиболее распространенных семействах троянцев этого типа. Здесь мы расскажем вам о другом. Он похож на подписчика Jocker Trojan — поэтому его зовут Harly, имя (слегка измененное) напарника известного злодея из комиксов. Два троянца, вероятно, имеют общее происхождение.
Подробная информация о троянах Harly
С 2020 года в Google Play было обнаружено более 190 приложений, зараженных Harly. По самым скромным подсчетам количество загрузок этих приложений составляет 4,8 миллиона, но фактическая цифра может быть еще выше.
Примеры приложений в Google Play, содержащих вредоносное ПО Harly
Как и троянцы Jocker, троянцы семейства Harly имитируют легитимные приложения. Итак, как это работает? Мошенники загружают обычные приложения из Google Play, вставляют в них вредоносный код, а затем загружают их в Google Play под другим именем. Приложения могут по-прежнему иметь функции, указанные в описании, поэтому пользователи могут даже не подозревать об угрозе.
Дополнительные примеры приложений в Google Play, содержащих вредоносное ПО Harly
Большинство представителей семейства Jocker являются многоэтапными загрузчиками — они получают полезную нагрузку с C&C-серверов мошенников. С другой стороны, трояны семейства Harly содержат всю полезную нагрузку внутри приложения и используют различные методы для ее расшифровки и запуска.
Отзывы пользователей, жалующихся на списание средств
Как работает подписчик Harly Trojan
Возьмем в качестве примера приложение com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), приложение-фонарик, которое скачали из Google Play более 10 000 раз.
Приложение, зараженное трояном Harly
При запуске приложения загружается хитрая библиотека:
Хитрая библиотека
Библиотека расшифровывает файл из ресурсов приложения.
Расшифровка файла из ресурсов приложения
Интересно, что создатели вредоносного ПО научились использовать языки Go и Rust , но пока их навыки ограничиваются расшифровкой и загрузкой вредоносного SDK .
Как и другие подписчики троянцев, Harly собирает информацию об устройстве пользователя, в частности о мобильной сети. Телефон пользователя переключается на мобильную сеть, после чего троянец запрашивает у командного сервера настроить список подписок, на которые необходимо подписаться.
Этот конкретный троянец работает только с тайскими операторами, поэтому сначала он проверяет MNC (коды мобильных сетей) — уникальные идентификаторы сетевых операторов, чтобы убедиться, что они тайские:
Проверка МНК
Однако в качестве тестовой MNC он использует код China Telecom — 46011. Эта и другие подсказки позволяют предположить, что разработчики вредоносного ПО находятся в Китае.
Тест МНК
Троянец открывает адрес подписки в невидимом окне и путем внедрения JS-скриптов вводит номер телефона пользователя, нажимает нужные кнопки и вводит код подтверждения из текстового сообщения. В результате пользователь получает платную подписку, сам того не осознавая.
Еще одной примечательной особенностью этого троянца является то, что он может подписаться не только тогда, когда процесс защищен кодом текстового сообщения, но и когда он защищен телефонным звонком: в этом случае троянец звонит на определенный номер и подтверждает подписку. .
Наши продукты обнаруживают вредоносные приложения, описанные здесь как Trojan.AndroidOS.Harly и Trojan.AndroidOS.Piom.
Как защититься от троянских подписчиков
Официальные магазины приложений ведут постоянную борьбу с распространением вредоносных программ, но, как видим, не всегда успешно. Прежде чем установить приложение, вы должны сначала прочитать отзывы пользователей и проверить его рейтинг в Google Play. Конечно, имейте в виду, что отзывы и рейтинги могут быть завышены . Чтобы охватить все ваши базы и не стать жертвой такого рода вредоносных программ, мы рекомендуем вам установить надежное решение для обеспечения безопасности .
Подробная информация о троянах Harly
С 2020 года в Google Play было обнаружено более 190 приложений, зараженных Harly. По самым скромным подсчетам количество загрузок этих приложений составляет 4,8 миллиона, но фактическая цифра может быть еще выше.
Примеры приложений в Google Play, содержащих вредоносное ПО Harly
Как и троянцы Jocker, троянцы семейства Harly имитируют легитимные приложения. Итак, как это работает? Мошенники загружают обычные приложения из Google Play, вставляют в них вредоносный код, а затем загружают их в Google Play под другим именем. Приложения могут по-прежнему иметь функции, указанные в описании, поэтому пользователи могут даже не подозревать об угрозе.
Дополнительные примеры приложений в Google Play, содержащих вредоносное ПО Harly
Большинство представителей семейства Jocker являются многоэтапными загрузчиками — они получают полезную нагрузку с C&C-серверов мошенников. С другой стороны, трояны семейства Harly содержат всю полезную нагрузку внутри приложения и используют различные методы для ее расшифровки и запуска.
Отзывы пользователей, жалующихся на списание средств
Как работает подписчик Harly Trojan
Возьмем в качестве примера приложение com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), приложение-фонарик, которое скачали из Google Play более 10 000 раз.
Приложение, зараженное трояном Harly
При запуске приложения загружается хитрая библиотека:
Хитрая библиотека
Библиотека расшифровывает файл из ресурсов приложения.
Расшифровка файла из ресурсов приложения
Интересно, что создатели вредоносного ПО научились использовать языки Go и Rust , но пока их навыки ограничиваются расшифровкой и загрузкой вредоносного SDK .
Как и другие подписчики троянцев, Harly собирает информацию об устройстве пользователя, в частности о мобильной сети. Телефон пользователя переключается на мобильную сеть, после чего троянец запрашивает у командного сервера настроить список подписок, на которые необходимо подписаться.
Этот конкретный троянец работает только с тайскими операторами, поэтому сначала он проверяет MNC (коды мобильных сетей) — уникальные идентификаторы сетевых операторов, чтобы убедиться, что они тайские:
Проверка МНК
Однако в качестве тестовой MNC он использует код China Telecom — 46011. Эта и другие подсказки позволяют предположить, что разработчики вредоносного ПО находятся в Китае.
Тест МНК
Троянец открывает адрес подписки в невидимом окне и путем внедрения JS-скриптов вводит номер телефона пользователя, нажимает нужные кнопки и вводит код подтверждения из текстового сообщения. В результате пользователь получает платную подписку, сам того не осознавая.
Еще одной примечательной особенностью этого троянца является то, что он может подписаться не только тогда, когда процесс защищен кодом текстового сообщения, но и когда он защищен телефонным звонком: в этом случае троянец звонит на определенный номер и подтверждает подписку. .
Наши продукты обнаруживают вредоносные приложения, описанные здесь как Trojan.AndroidOS.Harly и Trojan.AndroidOS.Piom.
Как защититься от троянских подписчиков
Официальные магазины приложений ведут постоянную борьбу с распространением вредоносных программ, но, как видим, не всегда успешно. Прежде чем установить приложение, вы должны сначала прочитать отзывы пользователей и проверить его рейтинг в Google Play. Конечно, имейте в виду, что отзывы и рейтинги могут быть завышены . Чтобы охватить все ваши базы и не стать жертвой такого рода вредоносных программ, мы рекомендуем вам установить надежное решение для обеспечения безопасности .