У каталозі додатків Google Play в черговий раз знайшли малваре. Фахівці «Доктор Веб» повідомила про виявлення шкідливий Android.Click.245.origin , Який по команді зловмисників завантажує сайти, де користувачів обманом підписують на платні контент-послуги. У деяких випадках оформлення підписок виконується автоматично, після натискання кнопки для «скачування» програм.

Малваре поширювалася від імені розробника Roman Zencov і маскувалася під відомі програми, включаючи ще не вийшла для Android гру Miraculous Ladybug & Cat Noir, гучну програму GetContact, а також голосового помічника «Аліса» (вбудований в додатки компанії «Яндекс» і окремо поки недоступний) . Дослідники пишуть, що одна з троянських програм входила до тридцятки найбільш популярних новинок каталогу Google Play. Причому у цих програм не було ніяких корисних функцій. Їх основне завдання - завантаження веб-сторінок по команді зловмисників.

Після повідомлення від фахівців «Доктор Веб» розробники Google видалили Android.Click.245.origin з каталогу. Однак в цілому додатки-підробки встигли встановити понад 20 000 користувачів.

Після запуску малваре з'єднувалася з керуючим сервером зловмисників і очікувала від нього завдання. Залежно від IP-адреси зараженого пристрою троян отримував посилання на певний сайт, який було необхідно завантажити. Перехід за отриманим посиланням здійснювався з використанням WebView.

Якщо мобільний пристрій було підключено до інтернету через Wi-Fi, користувачеві пропонували встановити його цікавить додаток, натиснувши на відповідну кнопку. Наприклад, якщо жертва запускала програму-підробку голосового помічника «Аліса», міг бути підготовлений файл Alice Yandex.apk.

При спробі завантаження зазначеного файлу у користувача запитували номер мобільного телефону для якоїсь авторизації або підтвердження скачування. Після введення номера користувачеві дійсно вирушав код перевірки, який необхідно було вказати на сайті для завершення «завантаження». Однак ніяких програм після цього жертва не отримувала, натомість її підписували на платну послугу.

Якщо ж заражене пристрій було підключено до інтернету через мобільний з'єднання, що завантажується трояном сайт виконував кілька перенаправлень, після чого Android.Click.245.origin відкривав кінцевий адреса в браузері Google Chrome. На сторінці користувачеві пропонувалося натиснути на кнопку «Продовжити» для скачування недоступні файли, після чого відбувалося перенаправлення на інший сайт, з якого нібито і відбувається завантаження. Якщо жертва погоджувалася почати завантаження, натиснувши на відповідну кнопку, її автоматично підписується на одну з дорогих послуг, за використання якої кожен день буде стягуватися плата. Відбувалося це за рахунок використання технології Wap-Click. Справа в тому, що доступ до таких сервісів надається без попереднього введення номера телефону і кодів підтвердження з SMS.

Аналітики «Доктор Веб» відзначають, що підключення непотрібних контент-послуг - один з найпоширеніших і давно відомих способів незаконного заробітку зловмисників. Однак оформлення таких преміум-підписок через сервіс Wap-Click представляє особливу небезпеку, адже фактично це відбувається без будь-якого явного інформування абонентів і часто використовується недобросовісними контент-провайдерами.