Виявлена група додатків в Google Play, які крадуть гроші користувачів

Дослідники безпеки Сан Ріол Рю і Чанунг Пак виявили ряд додатків Google Play, які крадуть SMS-повідомлення і роблять несанкціоновані покупки коштом користувачів, повідомили в McAfee.

Шкідливе ПО було заховано в 8 додатках, які булу завантажено понад 700 000 разів. Зловмисник зберігав всі види даних з телефонів користувачів, включаючи їх оператора мобільного зв’язку, номер телефону, SMS-повідомлення, IP-адреса, країну і статус мережі. Код додатків також містив рядка з автоматичними платними підписками.

Прихований шкідливий код в головному установчому файлі, завантаженому з Play, відкриває зашифрований файл з ім’ям “1.png” і розшифровує його за допомогою ключа, який збігається з ім’ям пакета. Отриманий файл “loader.dex” потім виконується, що призводить до запиту HTTP POST на сервер C2.

Самі ж шкідливі програми виглядають наступним чином: