«Лаборатория Касперского» сообщает об активизации опасного мобильного вируса-трояна Podec, который впервые был обнаружен еще в конце прошлого года. В нем заложены функции как отправки сообщений на платные короткие номера (без уведомления о стоимости услуги и запросов на подтверждение оплаты), так и осуществления подписки на платные услуги, причем последняя реализуется даже с обходом CAPTCHA. Подобная функциональность до этого не встречалась ни в одном известном «Лаборатории Касперского» Android-троянце.

Распространяется вирус в основном в России и соседних странах, таких как Казахстан, Украина, Беларусь и Кыргызстан. В качестве источников выступают различные домены со звучными именами (Apk-downlad3.ru, minergamevip.com и т.д.), а также серверы популярной социальной сети «ВКонтакте», использующиеся для хранения пользовательского контента. Причем именно соцсеть в данном случае преобладает — существует целый ряд сообществ, распространяющих этот троян через простые ссылки на загрузку какого-либо контента.

Podec -группы ВК

Как выяснилось, и тематика, и стиль ведения, и даже оформление таких групп во «ВКонтакте» имеют немало сходств. Более того, они выглядят как копии друг друга, да и администратором является один и тот же пользователь. Представитель «ВКонтакте» Георгий Лобушкин подтвердил, что служба поддержки действительно регистрировала случаи заражения через некоторые сообщества, все они теперь заблокированы.

Сама схема распространения предельно проста — мобильный троянец маскируется под популярное приложение, которое пользователь загружает в обход официального магазина Google Play. К примеру, представители «Лаборатории Касперского» поймали Podec в виде известной многим игры Minecraft — Pocket Edition. После запуска такое приложение запросит права администратора устройства, обезопасив себя от дальнейшего удаления. Пользователи редко вчитываются в требования при установке и не глядя подтверждают все запросы, как и с лицензионными соглашениями, где лишь бы галочку поставить и подтвердить.

Podec - запрос прав

Получив привилегированный доступ к устройству, троян, дабы не вызвать особых подозрений и предоставить пользователю, по сути, то, что он и хотел, начинает загрузку легитимного приложения. Когда обладатель устройства получает заветную игру или программу, вирус начинает заметать следы — он прекращает заметную активность и заменяет свой ярлык ярлыком оригинального ПО. Финальный штрих — кнопка удаления вредоносного приложения становится неактивна. Попытка снятия привилегий приводит к блокировке экрана или даже перезагрузке устройства.

Управление поведением трояна происходит с помощью удаленных серверов, которые после обращения вируса присылают ему SMS-сообщения с командами. При этом доменные имена таких центров управления и весь трафик шифруются. В общем, разработчики потрудились на славу и сделали по-настоящему опасный и неуловимый троян. Он способен не только собирать информацию об устройстве и отсылать сообщения, но и удалять приложения по команде, инициировать платные подписки, встраивать рекламу, выполнять DDoS-атаки, устанавливать фильтры на звонки и сообщения и даже осуществлять исходящие вызовы. Все это — без вашего ведома и каких-либо запросов на подтверждение.

Google Play

Дабы избежать подобных угроз, как минимум необходимо скачивать игры и программы только из официальных магазинов приложений, то есть из Google Play. Особенно это стоит помнить тем, у кого к аккаунтам привязаны пластиковые карты и вообще хранится какая-либо конфиденциальная информация. Финансовый риск в данном случае намного превосходит цену за легитимное приложение.

Узнать более подробную информацию о трояне Podec можно на специальной странице сайта SecureList «Лаборатории Касперского».

[via SecureList, Lenta]