Опубликовано 06 июля 2012, 15:54

"Find and Call": троян в App Store и Google Play

Эксперт «Лаборатории Касперского» Денис Масленников рассказал корпоративном блоге о новом вредоносном ПО, найденном в магазинах мобильных приложения Apple и Google. Четвертого июля с лабораторией связался оператор МегаФон и уведомил экспертов о подозрительном приложении, версии которого были обнаружены и в App Store, и в Google Play.

На первый взгляд могло показаться, что мы имеем дело с SMS-червем, который распространяется посредством отправки коротких сообщений, содержащих ссылку на тело червя, всем контактам из телефонной книги. Однако анализ версий приложения под iOS и Android показал, что это не SMS-червь, а троянец, который загружает телефонную книгу пользователя на удаленный сервер. А «размножение» осуществляется самим сервером, т.е. SMS-спам, содержащие ссылку на приложение, отправляются сервером всем контактам из украденной телефонной книги. Приложение называется «Find and Call» и до вечера 5 июля было доступно для скачивания и в App Store, и в Google Play. Apple и Google были уведомлены о данном инциденте.

После установки в меню Android или домашнем экране iOS появляется следующая иконка:

Find and Call

Find and Call

Find and Call

Find and Call

Find and Call

Если пользователь запустит это приложение, то его попросят зарегистрироваться в программе, используя e-mail и телефонный номер (оба значения не проверяются на правильность). Если же пользователю после этого захочется «найти друзей в телефонной книге», то его контакты будут скрытно (в приложении нет EULA/условий использования/уведомлений) загружены на удаленный сервер. Приложения также имеют функциональность загрузки пользовательских GPS-координат на тот же самый сервер. Однако такая «особенность» далеко не нова для легальных или вредоносных приложений. Каждая запись в телефонной книге через какое-то время получит SMS спам-сообщение с предложением перейти по ссылке и загрузить приложение «Find and Call». Необходимо также упомянуть, что поле ‘from’ в спам-сообщении содержит пользовательский телефонный номер. Другими словами, адресаты из телефонной книги получат спам-сообщение от якобы доверенного источника.

Источник новости: Securelist