Новый мобильный троян подписывает россиян на платные сервисы

Троян распространяется через рекламные сети под видом полезных приложений.

Специалисты «Лаборатории Касперского» сообщили о новом вредоносном ПО для смартфонов, которое незаметно для своих жертв подписывает их на различные платные сервисы.

Троян, получивший название Xafekopy, осуществляет подписку посредством кликов по ссылкам или SMS-сообщений. В первом случае вредонос даже способен обходить CAPTCHA.

В ходе анализа Xafekopy исследователи обнаружили ряд сходных черт между трояном и рекламным вредоносным ПО Ztorg. В частности обе программы используют JavaScript-файлы и ряд методов с одинаковыми названиями. При этом код у троянов разный. Как полагают эксперты, разработчики троянов могли купить либо украсть файлы один у другого. Авторами Xafekopy являются китайскоязычные хакеры.

В настоящее время общее число случаев инфицирования Xafekopy превысило 3,8 тыс. Троян нацелен преимущественно на пользователей в России и в Индии – за последний месяц на эти страны пришлось 25% и 61% случаев заражения соответственно. Отмечается, что для этих регионов даже существуют отдельные модификации трояна. Российская версия Xafekopy может заходить на ресурсы четырех крупнейших в РФ операторов связи и получать подтверждение подписки на платные сервисы.

Троян распространяется через рекламные сети под видом полезных приложений, при этом в его исполняемых файлах действительно есть какой-нибудь «полезный функционал». Таким образом магазинам приложений и модераторам рекламных сетей становится сложнее идентифицировать программу как вредоносную.

Злоумышленники используют и другой способ распространения Xafekopy – через рекламный троян Ztorg, способный незаметно для пользователя устанавливать и запускать рекламируемые приложения.