Badacze z firmy Kaspersky wykryli mobilnego trojana Shopper, który nęka użytkowników niechcianymi reklamami i zwiększa liczbę instalowanych aplikacji zakupowych. Trojan odwiedza sklepy z aplikacjami na smartfony, pobiera i uruchamia aplikacje, a następnie zostawia w imieniu użytkownika fałszywe recenzje. Wszystko odbywa się bez wiedzy właściciela urządzenia.
Trojan Shopper po raz pierwszy zwrócił uwagę badaczy z powodu intensywnego maskowania swoich działań oraz wykorzystywania usługi ułatwień dostępu w systemie Android, która pozwala m.in. na ustawienie opcji odczytywania na głos zawartości aplikacji oraz automatyzację interakcji z interfejsem użytkownika. Jednak w rękach cyberprzestępców funkcja ta, zaprojektowana głównie z myślą o ułatwieniu obsługi smartfonów przez osoby niepełnosprawne, może stanowić poważne zagrożenie dla właściciela urządzenia, przestrzegają eksperci Kaspersky .
Po uzyskaniu zezwolenia na korzystanie z usługi Shopper może mieć niemal nieograniczone możliwości interakcji z interfejsem systemu oraz aplikacjami. Umożliwia mu to przechwytywanie danych wyświetlanych na ekranie, wciskanie przycisków, a nawet symulowanie gestów użytkownika. Sposób rozprzestrzeniania szkodliwej aplikacji nie jest jeszcze znany, jednak badacze z firmy Kaspersky przypuszczają, że właściciele urządzeń pobierają ją z fałszywych reklam lub nieoficjalnych sklepów z aplikacjami podczas próby uzyskania legalnej aplikacji.
Szkodliwa aplikacja ukrywa się pod postacią narzędzia systemowego, aby pozostać niewidoczną dla użytkownika. W momencie odblokowania ekranu Shopper uruchamia się, gromadzi informacje o urządzeniu ofiary, a następnie wysyła je do serwera kontrolowanego przez cyberprzestępców. Serwer przekazuje w odpowiedzi polecenia do wykonania przez aplikację.
W zależności od poleceń aplikacja może:
- wykorzystać konto właściciela w serwisie Google lub Facebook w celu rejestrowania się w popularnych aplikacjach zakupowych i rozrywkowych ( np. AliExpress czy Alibaba),
- pozostawiać recenzje aplikacji w Sklepie Play firmy Google w imieniu właściciela urządzenia,
- sprawdzać uprawnienia do korzystania z usługi ułatwień dostępu. Jeśli zezwolenie nie zostanie udzielone, aplikacja próbuje wymusić włączenie tej funkcji poprzez wyświetlanie fałszywych komunikatów,
- wyłączyć funkcję Google Play Protect, która przeprowadza kontrolę bezpieczeństwa aplikacji ze Sklepu Play, zanim zostaną pobrane,
- otwierać w niewidocznym oknie odsyłacze otrzymywane ze zdalnego serwera,
- wyświetlać reklamy w momencie odblokowania ekranu urządzenia,
- pobierać i instalować aplikacje z nieoficjalnych zasobów,
- otwierać i pobierać reklamowane aplikacje ze Sklepu Play firmy Google.
— Zagrożenie związane ze szkodliwą aplikacją ogranicza się obecnie do niechcianych reklam, fałszywych recenzji i ocen wystawianych w imieniu ofiary. Nie ma jednak żadnej gwarancji, że twórcy tego oprogramowania nie zmienią w przyszłości jego funkcji. Na razie aplikacja koncentruje się na handlu, ale jej możliwości pozwalają na rozprzestrzenianie fałszywych informacji za pośrednictwem kont użytkowników w mediach społecznościowych oraz na innych platformach - powiedział cytowany w komunikacie prasowym Igor Gołowin, analityk zajmujący się szkodliwym oprogramowaniem w firmie Kaspersky.
