Казалось бы, все уже забыли про SMS-троянцев для смартфонов, однако они живут, здравствуют и продолжают воровать деньги у тех, кто уже научился не разговаривать со «службой безопасности Центробанка» и считает, что это делает его неуязвимым. «Лаборатория Касперского» рассказала, как работают современные трояны и отметила, что это преимущественно российская специфика: большинство пользователей, столкнувшихся с такими зловредами в 2021 — 2022 годах, по данным компании, находилось в России (27,32%).
Трояны специализируются на скрытых подписках на платные услуги, а в России контент-провайдеры, аффилированные с топ-менеджерами операторских компаний, по-прежнему существуют, механизмы автоматической подписки отработаны, а различного токсичного контента, на 99,99% которого никто не когда не подпишется за деньги, хоть отбавляй. Совсем «чёрные» методы подписки типа автоматической активации по клику на ссылку уже ушли в прошлое, но теперь «осознанного» абонента имитируют трояны.
Чаще всего в результате действий троянцев со счёта пользователя без его ведома снимается оплата за различные легитимные услуги, а злоумышленники получают за это определённый процент. Однако бывает и так, что подобные зловреды оформляют подписку на «услуги» самих атакующих. Среди троянцев, получивших распространение в России, эксперты отмечают, в частности, MobOk, GriftHorse.l и GriftHorse.ae.
Зловред MobOk, попав на устройство, запрашивает доступ к SMS или push-уведомлениям. Это позволяет ему перехватывать коды подтверждения для оформления подписки. Далее в невидимом окне открывается страница подписки и в неё подставляется код подтверждения. MobOk умеет обходить тест CAPTCHA: для распознавания кода на картинке троянец отправляет её на специальный сервис.
Троянец GriftHorse.l примечателен тем, что оформляет подписку на «услуги» самих злоумышленников — такое случается, если потенциальная жертва пропустит или невнимательно прочитает пользовательское соглашение. Зловред распространяется через Google Play, например под видом приложения, якобы предлагающего составить индивидуальный план похудения всего за 29 рублей. Однако, если прокрутить страницу оплаты, можно увидеть, что доступ к «сервису» предоставляется по подписке с использованием автоплатежа, а не разовой оплаты. В комментариях к приложению пользователи жалуются, что отменить оформленную подписку невозможно, а некоторые отмечают, что не получили услугу после оплаты. Однако напомним, что оплата через Google Play не проходит, поэтому этот троян теперь безопасен.
Ещё один троянец, GriftHorse.ae, хотя и относится к тому же семейству, ведёт себя иначе. Зловред выдаёт себя за приложения для восстановления удалённых файлов, редактирования фотографий и видео, моргания вспышкой при входящем звонке, навигации, сканирования документов. Однако единственное, что умеют эти программы, — запрашивать номер телефона якобы для входа и оформлять подписку при нажатии кнопки «Войти». Подписка оплачивается с мобильного счёта, поэтому для её оформления достаточно номера телефона. Распространяется GriftHorse.ae также через официальный магазин приложений, что ещё раз говорит об отсутствии у Google сколь-либо работающей модерации.