Троянцы-подписчики предпочитают россиян
Как отмечает исследователь мобильных угроз в "Лаборатории Касперского" Игорь Головин, одним из наиболее распространенных способов заработка для киберпреступников остается скрытая подписка пользователей на платные услуги: "Чаще всего они оплачивают от лица пользователя легитимные услуги, а злоумышленники получают процент от потраченных денег. Деньги за такие подписки, как правило, списываются со счета телефона. Бывают и зловреды, которые оформляют подписку на "услуги" самих злоумышленников". При этом вредоносные программы обходят методы защиты, которые используют контент-провайдеры.
Директор центра Solar appScreener компании "Ростелеком-Солар" Даниил Чернов считает, что злоумышленники применяют такой метод вследствие простоты монетизации: "Злоумышленники используют трояны, которые оформляют платные подписки, потому что этот сценарий дает легкий способ монетизации. Если хакер прикладывает усилия для заражения мобильного приложения, он хочет максимально быстро получить выгоду от своей деятельности. Другие способы монетизации более сложные. Если говорить о краже персональных данных, номеров карт, для этого надо обладать соответствующей квалификацией. Злоумышленнику нужно понять, из каких приложений он будет красть данные, как это потом использовать, как монетизировать. А работа с платными подписками значительно проще".
Руководитель группы проактивного поиска угроз и анализа вредоносного ПО Group-IB Роман Резвухин связывает распространение таких зловредов с тем, что злоумышленникам стало сложнее красть деньги с использованием классических банковских троянов, нацеленных на прямой вывод средств со счетов жертвы с использованием доступа к SMS.
Наиболее активны в России такие зловреды, как MobOk, GriftHorse.l и GriftHorse.ae. Однако были и такие вредоносные программы, которые ориентировались на пользователей других стран. К примеру, Vesub наиболее активен в Египте, Таиланде и Малайзии, а Joker - в Саудовской Аравии, Польше и Германии. Все они маскируются под легитимные приложения, а некоторые злоумышленники пытаются распространять через Google Play. Но поведение зловредов различается: одни злоумышленники пытаются включать вредоносный код в приложения, которые выполняют заявленные функции (так ведет себя MobOk), у других легитимная функциональность отсутствует, и запуск приводит к оформлению подписок (Vesub). GriftHorse.l, как отмечают в "Лаборатории Касперского", примечателен тем, что оформляет подписку на "услуги" самих злоумышленников, привлекая жертв обещанием составить индивидуальную программу для похудения за низкую цену. Авторы зловреда учли, что пользователи мобильных приложений крайне редко читают пользовательские соглашения, и включили автоматическое продление подписки через автоплатеж с банковской карты.
"Связи между ростом заражений мобильными троянами и ограничениями, которые Google наложил на российских пользователей, нет. Невозможность купить платные приложения, продлить подписку, скачать приложения ряда российских банков - эти проблемы призваны решить развивающиеся сегодня отечественные магазины приложений. Они позволят оградить российских пользователей от решений, которые принимаются зарубежными компаниями. Сможет ли это повлиять на распространение троянов, которые списывают с пользователей деньги за платные подписки, зависит скорее от администрации этих магазинов - насколько строго там будут проверять загружаемые разработчиками приложения", - считает Даниил Чернов.
"Указанная статистика отражает ситуацию по заражениям троянами-подписчиками за прошедший год, то есть ограничения Google вряд ли сильно влияют на распространенность подобных троянов среди российских пользователей. Тем не менее отсутствие многих приложений в официальных магазинах вынуждает пользователей прибегать к загрузке приложений из непроверенных источников, где выше риск заразиться мобильным трояном - хотя и сам официальный магазин Google далеко не всегда обеспечивал качественную модерацию загружаемых приложений, - предупреждает Роман Резвухин. - Поэтому появление отечественного магазина приложений сможет повлиять на ситуацию только в том случае, если будет осуществляться жесткая модерация содержимого данного магазина".
