Компанія “Доктор Веб” повідомила про виявлення великої кількості шкідливих програм у офіційному каталозі додатків Android Market. Всі ці програми відносяться до сімейства троянців Android.SmsSend, здатних відправляти SMS-повідомлення на платні номери без згоди користувача. Після звернення фахівців “Доктор Веб” в компанію Google шкідливі додатки були оперативно видалені з Android Market.

Аналітики “Доктор Веб” виявили в каталозі Android Market більше тридцяти шкідливих додатків, здатних без відома користувача відправляти SMS-повідомлення на короткі преміум-номери. Самі по собі SMS-троянці не є унікальними розробками, а концепція їх роботи не нова і вже давно використовується зловмисниками на просторах Всесвітньої мережі. Разом з тим вони можуть завдати істотної шкоди добробуту жертви, з рахунку якої списується певна сума за кожне відправлене повідомлення.

Каталог додатків Android Market вже не в перший раз стає джерелом поширення шкідливих програм. Так, раніше в ньому були знайдені троянці сімейства Android.DreamExploid, Android.DDLight і деякі інші. незважаючи на те, що поодинокі випадки появи в Android Market троянців сімейства Android.SmsSend відзначалися і раніше, таке масове їх поширення зафіксовано вперше.

На сьогоднішній день компанія “Доктор Веб” повідомляє про 33 виявлених на Android Market шкідливих програмах даного типу, створених двома різними розробниками. Для поширення загрози зловмисники використовують цікаву схему: більшість шкідливих програм позиціонується як додатки – каталоги зображень, дозволяють змінювати фоновий малюнок Робочого столу Android, і вони дійсно володіють таким функціоналом. Тематика запропонованих картинок найширша: від комп’ютерних ігор до фотографій природи. Серед інших шкідливих програм зустрічаються і вельми оригінальні. Наприклад, програма для складання гороскопів, дієт, програма-ліхтарик та інші. Варто відзначити, що їхній інтерфейс вельми аскетичний, і наявність хоч якогось функціоналу покликане, скоріше, прикрити дійсну мету вірусотворців – відправлення з мобільного пристрою жертви платних СМС.

Крім іншого, зловмисники використовують простий, але ефективний метод, який дозволяє максимально збільшити ймовірність того, що дані програми будуть помічені користувачами. Для цього в ключових словах, які розробники додають в опису програм, часто поміщаються популярні словосполучення, не відносяться до даного продукту, наприклад, назви популярних ігор, таких як Angry Birds. У результаті посилання на подібні програми часто демонструються в перших рядках результатів пошуку по каталогу Android Market.

Принцип дії даних зловмисних програм цілком стандартний. після запуску програми користувачеві зазвичай демонструється текст, що говорить про те, що власник мобільного пристрою погоджується з якимсь умовами, причому сама угода з переліком цих умов, як правило, відсутня. хитрість полягає в тому, що останнє слово в цьому тексті є гіперпосилання на сторінку з ліцензійною угодою і ніяк не виділяється на тлі навколишніх слів. Користувач повинен дуже постаратися, щоб виявити таку приховану посилання. Чи варто говорити, що після підтвердження згоди натисканням на відповідну кнопку додаток негайно спробує відправити платне SMS-повідомлення?

У додатках іншого розробника функціонал дещо відрізняється, хоча і незначно. Після запуску на екрані пристрою з’являється вступний текст і дві кнопки: підтвердження згоди з умовами ліцензії, і друга, при натисканні на яку має відкриватися тест угоди. Але і тут не обійшлося без хитрощів: угода розташовується на сторонньому веб-сайті, який в даний момент не функціонує, тому ознайомитися з пропонованими умовами користувач не може. Після отримання підтвердження додаток негайно намагається надіслати SMS-повідомлення.

Компанія Google вже видалила дані шкідливі програми з каталогу Android Market, а необхідні записи внесені до вірусні бази Dr.Web.