Исследователи «Лаборатории Касперского» сообщили
о новом трояне Harly, активном с 2020 года. Согласно отчету, вредоносом заражено по меньшей мере 190 приложений, у которых суммарно 4.8 миллиона скачиваний. Однако жертв может быть гораздо больше.
Чтобы обмануть пользователей, операторы Harly используют стратегию трояна Jocker – загружают из Google Play легитимные приложения, встраивают в них вредоносный код и выгружают их обратно под другим именем. При этом, чтобы не вызывать подозрений, разработчики оставляют приложениям их функционал.
Однако, у Harly и Jocker есть отличие: первый троян содержит всю полезную нагрузку внутри приложения и различными способами расшифровывают ее для запуска, а второй – многоуровневый загрузчик, получающий полезную нагрузку с серверов злоумышленников.
После запуска приложения, зараженного Harly, происходит загрузка подозрительной библиотеки в которой происходит расшифровка файла из ресурсов приложения. После расшифровки троян собирает информацию об устройстве пользователя, в особенности о мобильной сети. Телефон пользователя переключается на мобильную сеть, после чего троян запрашивает у командного сервера конфигурацию и список подписок, которые необходимо оформить.
Затем Harly в невидимом окне открывает адрес подписки, с помощью инъекции JS-скриптов вводит номер телефона пользователя, нажимает нужные кнопки и подставляет проверочный код, извлеченный из пришедшего на телефон SMS. В результате без ведома пользователя на него оформляется подписка.
Еще одна интересная особенность Harly — он умеет оформлять подписки, защищенные не только SMS-кодом, но и телефонным звонком: троян совершает звонок по определенному номеру, подтверждая оформление подписки.
Чтобы не стать жертвой таких приложений, эксперты рекомендуют пользователям смотреть на отзывы о приложениях перед загрузкой.
Источник: SecurityLab