Платную подписку заказывали? Нет? А будет!

Рассказываем, как обманывают пользователей Android с помощью троянов-подписчиков Jocker, MobOk, Vesub и GriftHorse.

Рассказываем, как обманывают пользователей Android с помощью троянов-подписчиков Jocker, MobOk, Vesub и GriftHorse

Трояны-подписчики — один из проверенных временем методов выманивания денег у пользователей Android. Они проникают на телефон под видом полезных приложений и скрытно оформляют подписки на платные услуги. Сама услуга по подписке, как правило, формально действительно оказывается — вот только пользователю она, скорее всего, не нужна.

Зарабатывают создатели таких троянов на комиссии — то есть получают некий процент от потраченных пользователем средств. Деньги при этом обычно списываются со счета мобильного телефона, хотя в некоторых схемах их могут списывать и с банковской карты. Мы решили рассказать вам о мобильных троянах-подписчиках, деятельность которых эксперты Kaspersky фиксировали в последний год.

Платная подписка и коды из SMS

Трояны из семейств Jocker обычно распространяются через Google Play. Злоумышленники модифицируют какие-нибудь действительно полезные приложения, добавляя в них вредоносный код, и загружают в магазин под другим названием. Это могут быть, например, приложения для обмена SMS, мониторинга артериального давления или сканирования документов. Модераторы Google Play стараются отслеживать и удалять подобные приложения, но новые появляются быстрее, чем сотрудники магазина успевают разбираться с уже замеченными.

Приложения в Google Play, зараженные трояном-подписчиком Jocker

Приложения в Google Play, зараженные трояном-подписчиком Jocker

Теперь о том, как работает троян-подписчик. В нормальной ситуации, чтобы оформить подписку, человек должен зайти на страницу контент-провайдера и нажать кнопку «Подписаться». Затем для противодействия автоматизации подписки поставщики услуг просят пользователя подтвердить свое желание оформить подписку, введя код из SMS. Но зловреды из семейства Jocker умеют обходить этот способ защиты.

Дело в том, что после проникновения на устройство зараженное приложение во многих случаях запрашивает у пользователя доступ к SMS. Далее троян открывает страницу подписки в невидимом окне, имитирует нажатие кнопки «Подписаться», похищает код подтверждения из SMS и беспрепятственно оформляет подписку.

В случаях же, когда функции приложения не предполагают доступа к SMS — например, зачем давать его приложению для сканирования документов? —трояны-подписчики из семейства Jocker запрашивают доступ к уведомлениям. Это дает возможность похитить все тот же код подтверждения, но уже из всплывающих уведомлений о входящих сообщениях.

Как трояны-подписчики обходят капчу

Трояны из семейства MobOk можно назвать более продвинутыми. Они умеют не только похищать коды подтверждения из SMS или уведомлений, но и обходить капчу — еще один метод защиты от автоматизации подписки. Для распознавания кода на картинке троян отправляет ее в специальный сервис — в прошлом году мы рассказывали, как устроены клик-фермы, предоставляющие услуги по распознаванию капчи.

В остальном принцип действия аналогичен троянам из семейства Jocker. В ряде случаев MobOk распространяли в качестве полезной нагрузки трояна Triada — в частности, через предустановленные приложения на некоторых моделях смартфонов, неофициальные модификации WhatsApp или альтернативный магазин приложений APKPure. Также иногда зараженные MobOk-приложения можно встретить и в Google Play.

Трояны-подписчики из неофициальных источников

Зловреды из семейства Vesub также распространяются через сомнительные источники под видом приложений, которые по тем или иным причинам запрещены в официальных магазинах. Например, под видом приложений для выкачивания контента из YouTube и других стриминговых сервисов — Tubemate и Vidmate, или под видом неофициальной Android-версии GTA5. Помимо этого, они могут в тех же источниках представляться и как бесплатная версия популярных и дорогих приложений, таких как Minecraft.

Троян-подписчик Vesub выдает себя за Tubemate, Vidmate, GTA5, Minecraft и некий GameBeyond

Троян-подписчик Vesub выдает себя за Tubemate, Vidmate, GTA5, Minecraft и некий GameBeyond

В отличие от зловредов из семейств MobOk и Jocker, приложения, зараженные Vesub, часто не делают вообще ничего полезного для пользователя. Сразу после установки они приступают к оформлению ненужной подписки, скрывая от пользователя соответствующие окна и показывая ему вместо этого окно загрузки приложения. Хотя бывают и исключения — в некоторых случаях внутри приложения помимо зловреда все-таки что-то есть.

Вход по номеру телефона

Трояны GriftHorse.ae действуют еще более незамысловато. При первом запуске они просят пользователя ввести свой номер телефона — якобы для входа в приложение. Подписка оформляется сразу после того, как человек его вводит и нажимает кнопку «войти», деньги списываются с мобильного счета. Эти зловреды обычно представляются как приложения для восстановления удаленных файлов, редактирования фотографий и видео, моргания вспышкой при входящем звонке, навигации, сканирования документов, перевода и тому подобного. При этом на самом деле приложения, как правило, полностью бесполезны для пользователя.

Подписка с автоплатежом

Трояны-подписчики GriftHorse.l, несмотря на сходство названия, действуют по иной схеме — они оформляют подписки с автоплатежом. Формально это происходит с прямого согласия пользователя, однако тот может не понимать, что подключает именно регулярный автоплатеж. Второй трюк состоит в том, что первый платеж обычно достаточно символический, а вот дальнейшие списания уже заметно более серьезные.

Приложение

Приложение «Keto план похудения» из Google Play оформляет подписку с автоплатежом

Подобную схему мы уже рассматривали на примере мошеннических сайтов с подписками на учебные курсы. В данном случае механизм примерно тот же, но реализован внутри приложения. Эти подписчики распространяются в основном через Google Play, а деньги списывают напрямую с банковской карты, которую просят ввести для получения доступа к контенту.

Как не попасться на уловки мошенников?

Разобраться с тем, как отменить ненужную платную подписку, бывает очень непросто. Поэтому лучше просто не попадать в эту неприятную ситуацию. Вот что мы рекомендуем для защиты от троянов-подписчиков:

  • В первую очередь, не устанавливайте приложения из неофициальных источников. Это позволит значительно повысить безопасность вашего устройства.
  • Официальные площадки, к сожалению, также не дают полной гарантии. Поэтому, прежде чем скачать приложения из Google Play или других магазинов, обязательно почитайте отзывы о нем и посмотрите оценки.
  • Полезно также проверить дату, когда приложение появилось на платформе. Магазины активно удаляют опасные подделки, поэтому мошенникам приходится постоянно создавать новые версии зараженных приложений. Так что если интересующее вас приложение появилось в магазине совсем недавно, это повод отнестись к нему с опаской.
  • Давайте приложениям минимальный доступ к вашему устройству. Прежде чем разрешить ему читать ваши уведомления или SMS, задумайтесь, а действительно ли это необходимо?
  • Установите на телефон надежный мобильный антивирус — он защитит ваше устройство и от троянов-подписчиков, и от всех прочих цифровых неприятностей.
Советы

Защищаем защиту дома

Уберечь свой дом от ограблений, пожаров и прочих инцидентов часто предлагают с помощью умной техники, в первую очередь камер. Но при этом забывают обезопасить от враждебного воздействия сами системы защиты. Мы восполним этот пробел.