В сентябре Google Play удалил еще 24 приложения с вредоносным ПО, которые набрали 500 000 загрузок. Команда безопасности компании сегодня подробно описала очень настойчивое «масштабное семейство мошенничества с выставлением счетов», известное как «Joker».
Также известная как «Bread», Google отслеживает «хорошо организованного, настойчивого злоумышленника» с начала 2017 года. Сначала она занималась SMS-мошенничеством, нацеливаясь на пользователей, чьи операторы связи позволяют производить оплату через текстовые сообщения, а затем перешла к мошенничеству с платными звонками, когда вы платите, посетив страницу оператора и введя свой номер телефона.
Пользователи, загрузившие затронутые приложения, столкнулись с неполными условиями использования. Например, номера для отмены подписок оказались недействительными, а отображаемые кнопки на самом деле не работали и в фоновом режиме продолжали взимать плату за регулярную премиум-подписку.
Эта итерация мошенничества — после новых политик Play, которые ограничили разрешение SMS — свидетельствует о том, насколько настойчивым был Joker в попытках незаконно выставлять счета пользователям:
В какой-то момент они использовали практически все методы маскировки и обфускации, чтобы избежать обнаружения. Многие из этих образцов, по-видимому, разработаны специально для того, чтобы незаметно попасть в Play Store, и больше нигде не встречаются.
Это включает в себя «инновационные и классические методы» для скрытия строк от аналитических движков, а также маскировку использования API SMS и Wi-Fi Android. Приложения Joker также начинали с «чистых версий», чтобы увеличить базу пользователей и репутацию разработчиков, а также публиковали поддельные пятизвездочные отзывы.
Google обнаружил, что разработчики вредоносного ПО Joker были особенно активны, используя три или более варианта Play с различными подходами и целевыми операторами:
В пиковые периоды активности мы видели до 23 различных приложений из этого семейства, отправленных в Play за один день. В другое время Bread, похоже, отказывается от надежды сделать вариант успешным, и мы наблюдаем перерыв в неделю или дольше до следующего варианта.
Со своей стороны, Google Play Protect обнаружил и удалил 1700 уникальных вредоносных программ Joker до того, как они были загружены пользователями.