Недавно обнаруженная вредоносная программа для Android передается через сообщения WhatsApp в рамках вредоносной рекламной кампании.
«Эта вредоносная программа распространяется через WhatsApp жертвы, автоматически отвечая на любое полученное уведомление WhatsApp со ссылкой на приложение Huawei Mobile», - сообщил исследователь ESET Лукас Штефанко.
Ссылка на поддельное мобильное приложение Huawei Mobile при нажатии на нее перенаправляет пользователей на фишинговый клон Google Play Store.
После установки червь предлагает жертвам предоставить ему доступ к уведомлениям, которые затем используются для дальнейшего осуществления атаки.
Атака использует функцию быстрого ответа WhatApp, которая применяется для ответа на входящие сообщения непосредственно из уведомлений, чтобы автоматически отправить ответ на полученные сообщения.
Помимо запроса прав на чтение уведомлений, приложение запрашивает доступ для работы в фоновом режиме, а также для отображения поверх других приложений, т.е. приложение может наложить на любое другое запущенное на устройстве приложение собственное окно, которое может быть использовано для кражи учетных данных и конфиденциальной информации.
Функциональность, по словам Штефанко, заключается в том, чтобы обманом заставить пользователей подписаться на рекламу.
Кроме того, в своей текущей версии вредоносный код способен отправлять автоматические ответы только на контакты WhatsApp - функция, которая может быть потенциально расширена в будущем на другие приложения обмена сообщениями, которые поддерживают функцию быстрого ответа Android.
В то время как сообщение отправляется только один раз в час на один и тот же контакт, содержимое сообщения и ссылка на приложение извлекаются с удаленного сервера, что повышает вероятность того, что вредоносная программа может быть использована для распространения других вредоносных веб-сайтов и приложений.
«Не припомню другие вредоносные программы под Android, имеющие подобный функционал распространения через сообщения WhatsApp», - сообщил Штефанко в интервью изданию «The Hacker News».
Штефанко сообщил, что точный механизм первичного заражения не ясен, однако, следует отметить, что вредоносы-черви могут потенциально распространяться со всего нескольких устройств до целой эпидемии невероятно быстро.
«Я бы сказал, что это может происходить через SMS, почту, социальные сети, каналы/чаты и т.д.», - заявил исследователь.
Ситуация еще раз подчеркивает необходимость придерживаться доверенных источников для загрузки сторонних приложений, проверять, действительно ли приложение выпущено подлинным разработчиком, и тщательно проверять разрешения приложения перед установкой.
Но тот факт, что кампания ловко опирается на доверие, связанное с контактами WhatsApp, подразумевает, что даже этих контрмер может быть недостаточно.
Перевод сделан со статьи: https://thehackernews.com
