Исследователи Zimperium zLabs обнаружили новую вредоносную программу, которая затронула миллионы пользователей. Команда zLabs назвала эту вредоносную программу «Dark Herring», посчитав ее самой продолжительной аферой с мобильными SMS-сообщениями. По данным команды, в мире погибло 105 миллионов человек.
В подробном отчете, опубликованном на официальном сайте, исследователи zLabs подробно описывают, как это вредоносное ПО влияет на пользователей Android. Он имеет некоторые ключевые отличия от традиционных вредоносных приложений. Dark Herring маскируется под обычно выглядящее приложение, чтобы поддерживать притворство. Фактически, пользователи могут даже часто использовать эти приложения. Делая это, киберпреступники гарантируют, что приложения останутся на устройстве еще долгое время после первоначальной установки.
Сообщается, что некоторые из этих вредоносных приложений были опубликованы в Play Store и сторонних центрах приложений. К счастью, команда zLabs отправила результаты отчета в Google и другие соответствующие веб-хостинги. Вскоре после этого вредоносные приложения были полностью удалены в ходе «скоординированного удаления».
«На момент публикации мошеннические сервисы и фишинговые сайты уже не активны, а Google удалил все вредоносные приложения из Google Play», — отмечает исследовательская группа. Вредонос затронул 470 приложений Android.
У команды до сих пор не было точных данных о том, сколько денег могло быть украдено у пользователей. Но, исходя из масштаба этой вредоносной программы, она легко может составлять миллионы долларов в месяц. Исследователи обнаружили, что вредоносное ПО Dark Herring могло ошибочно взимать с пользователей в среднем до 15 долларов в месяц.
Приложения Dark Herring наводняют Интернет как минимум с марта 2020 года.
Сообщается, что вредоносная программа работала более чем в 70 странах, скрываясь под веб-страницами на родном языке пользователя. Он может определить местный язык пользователя на основе информации об IP-адресе. Как отмечает команда zLabs, пользователи с большей вероятностью нажмут на ссылку на своем родном языке. После проникновения на устройство с помощью этих средств вредоносное ПО затем определяет, следует ли атаковать жертву через подписку Direct Carrier Billing, используя логику на стороне сервера.
Некоторые из приложений, задействованных в вредоносном ПО Dark Herring, датируются мартом 2020 года. Между тем, самое последнее из них датировано ноябрем 2021 года. Что особенно беспокоит подобные мошенничества, так это тот факт, что они обычно связаны с выставлением счетов оператором связи. Это означает, что многие клиенты не осознают, что платят за услугу, которой не пользуются, пока не станет слишком поздно.
Как и в случае с вредоносным ПО GriftHorse, о котором сообщалось несколько месяцев назад, некоторые приложения Dark Herring все еще скрываются в сторонних центрах приложений. Имея это в виду, пользователи Android должны быть очень осторожны при загрузке чего-либо со стороннего рынка приложений. Также полезно помнить, что если вы потеряете деньги из-за такого вредоносного ПО, надежды на их возврат практически нет.
Дополнительные сведения о вредоносном ПО Dark Herring можно найти по ссылке здесь.