Новая вредоносная программа для Android способна быстро распространяться через автоответы WhatsApp по всем контактам владельца зараженного устройства. По мнению эксперта, в дальнейшем ее могут сориентировать и на другие мессенджеры, поддерживающие функцию быстрых ответов (Quick Reply).
Опция Quick Reply позволяет при получении уведомлений автоматически отправлять типовые ответы на входящие сообщения. В данном случае такой автоответ содержит ссылку на вредоносное приложение для смартфонов Huawei, загруженное на сайт, имитирующий Google Play Store.
При установке этот вредонос запрашивает разрешение на доступ к уведомлениям, на работу в фоновом режиме и вывод своего окна поверх окон других приложений. Последнее требование обычно характерно для оверлейных зловредов, ворующих банковские реквизиты и персональные данные с помощью фишинговых экранов.
Однако анализ, проведенный экспертом ESET Лукасом Стефанко (Lukas Stefanko), показал, что новобранец, вероятнее всего, используется для навязчивого показа рекламы или мошенничества с подпиской на платные услуги.
Текущие настройки Android-зловреда позволяют ему отправлять автоответ на один и тот же номер один раз в час. Текст сообщения и вредоносную ссылку он получает с удаленного сервера, то есть потенциально способен распространять и другие вредоносные программы.
Каким образом происходили первые заражения, доподлинно установить не удалось. Стефанко лишь отметил, что число жертв может очень быстро возрасти с считанных единиц до целой армии. Инфекция при этом способна распространяться по SMS, email, через социальные сети, чат-сообщества и т. п.
Появление столь необычного Android-зловреда еще раз подтвердило правильность базовых рекомендаций для владельцев мобильных устройств:
Загрузку сторонних приложений следует производить только из доверенных источников.
Проверка наличия подписи разработчика должна войти в привычку.
Тщательный просмотр разрешений, запрашиваемых приложением перед установкой, способен уберечь пользователя от многих неприятностей.
Центр мониторинга и управления сетью связи общего пользования, созданный на базе Федерального государственного унитарного предприятия «Главный радиочастотный центр» (ФГУП «ГРЧЦ»), судя по всему, стал объектом кибератаки 31 декабря.
Телеграм-канал IEM SECURITY сегодня опубликовал короткий пост:
«ANTIDDOS BY ROSKOMNADZOR DOWNED, 200-150 RPS PER SECONDS».
Однако мы, попробовав зайти на сайт https://noc.gov.ru/ru/ напрямую, обнаружили, что всё прекрасно открывается. Видимо, специалисты уже успели восстановить работу веб-ресурса, с чем их и поздравляем.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
