100 тыс. скачиваний
Приложение под Android, насчитывающее 100 тыс. скачиваний из Google Play, использовалось его создателями для регистрации большого количества поддельных аккаунтов в различных сетевых сервисах и соцсетях, в том числе Google и Telegram. Приложение Symoo выдает себя за средство работы с SMS-сообщениями и в какой-то степени работает именно так, но совсем иначе, нежели рассчитывают пользователи.
Как указывает исследователь проблем информбезопасности Максим Инграо (Maxime Ingrao), смартфоны, на которое устанавливается это приложение, по всей видимости, сдаются злоумышленниками в аренду в качестве «виртуальных номеров» для регистрации анонимных и поддельных аккаунтов: значительная часть сервисов требует номер мобильного телефона для подтверждения личности нового пользователя, и на этот номер отправляются разовые коды проверки.
Такие коды в огромном количестве и получали пользователи, имевшие неосторожность установить себе такое приложение.
При инсталляции приложение требует доступа к чтению и отправке SMS, затем выводит пользователю фальшивый экран, на котором якобы отображается процесс установки ресурсов. Этот процесс может длиться очень долго, а на его фоне приложение интенсивно пересылает совсем другие данные.
Популярное приложение под Android помогало массово регистрировать фейковые аккаунты
Как отмечает издание Bleeping Computer, удаленные операторы отправляют многочисленные SMS с кодами двухфакторной авторизации для создания новых аккаунтов в разных сервисах и считывания данных из них (по-видимому, речь идет о реквизитах доступа, которые потом продаются или передаются посторонним людям).
После этого приложение зависает, так что пользователи, скорее всего, его удаляют. Однако коды авторизации к аккаунтам, которые они не создавали, продолжают к ним приходить.
Не только одноразовые коды?
Максим Инграо также обнаружил, что приложении Symoo способно выводить данные SMS на домен, который используется другим сомнительным приложением — Virtual Number. До недавнего времени оно также присутствовало в Google Play, но потом его удалили.
Разработчик Virtual Number создал и протащил в GooglePlay еще одно приложение: ActivationPW — Virtual Numbers, которое предлагает «онлайновые номера более чем от 200 стран»; их можно использовать для регистрации поддельного аккаунта в онлайн-сервисах. Аренда такого номера с возможностью верифицировать аккаунт обойдется в $0,5. Естественно, речь идет о криминале.
Существует подозрение, что Symoo также используется для получения и перенаправления одноразовых кодов, которые генерируются при создании аккаунтов через ActivationPW.
В любом случае, все это — вредоносные приложения, лишь по недоразумению попавшие в Google Play.
«Схема, используемая злоумышленниками, довольно интересна, хотя и удивляет своей одноразовостью, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — С каждой установкой приложения можно зарегистрировать лишь довольно ограниченное количество фейковых аккаунтов. С другой стороны, у приложения озадачивающе большое количество скачиваний, и злоумышленникам каким-то образом удается поддерживать достаточно высокий рейтинг, несмотря на множество отрицательных отзывов. Либо они немало потратились на накрутку оценок, либо изначально это приложение могло выполнять какие-то полезные функции. Первая версия, впрочем, выглядит более убедительной».
На данный момент приложение все еще остается в Google Play.
