Троян подменяет подпись приложения, в следствие чего система считает его загруженным из Google Play.
Как сообщили эксперты безопасности из компании F-Secure, российские пользователи Android-устройств подверглись очередной хакерской атаке. Злоумышленники размещают в Сети вредоносную версию Android-приложения Minecraft, привлекая жертв скидками в 50% от официальной стоимости игры.
По словам исследователей, вредоносное приложение, содержащее троян, действует по стандартной схеме, отправляя с номера жертвы сообщения на премиум-номера, а также подписывая пользователя на дорогостоящие услуги.
Примечательно, что данное изменение приложения Minecraft не должно функционировать, поскольку при его загрузке система проверяет подпись, которую используют разработчики. Если проверка не удается, такое приложение не запускается.
Тем не менее, создатели трояна обошли данное ограничение, используя специальный инструмент под названием Smalihook, который позволяет изменять настройки Java, а также подменять настройки, проверив которые устройство считает, что вредоносное приложение было загружено из Google Play, и что подпись действительна.
По словам экспертов, Smalihook является частью инструмента для взлома библиотеки лицензий Android под названием AntiLVL.
«Целью этого инструмента является взлом системы защиты лицензии, и он направлен, в первую очередь, на разработчиков, проверяющих свои средства защиты от распространенных видов атак», - отмечают в F-Secure.
Примечательно, что в аналогичных случаях злоумышленники распространяют вредоносную подделку бесплатно, намереваясь получить прибыль от отправки сообщений на премиум-номера, однако авторы этой схемы решили заработать еще и на продаже замаскированного трояна.
Злоумышленники распространяют вредоносную версию приложения Minecraft для Android
Троян подменяет подпись приложения, в следствие чего система считает его загруженным из Google Play.Троян подменяет подпись приложения, в следствие чего система считает его загруженным из GoТакже по теме: