Червь для Android распространяется через систему автоответов Quick Reply. Пользователям приходит сообщение с предложением загрузить поддельное приложение Huawei с веб-сайта, маскирующегося под Google Play.
«Это вредоносное ПО распространяется через WhatsApp жертвы, автоматически отвечая на любое уведомление в сообщении WhatsApp. Ссылка ведет на поддельное и вредоносное приложение Huawei Mobile», – сообщил специалист по кибербезопасности компании ESET Лукас Стефанко.
Вредоносное ПО, о котором впервые сообщил пользователь Twitter @ReBensk, после установки на устройстве запрашивает доступ к уведомлениям. Именно данное разрешение используется для осуществления атаки через функцию быстрого ответа в WhatsApp.
Помимо чтения уведомлений, приложение также запрашивает разрешения на работу в фоновом режиме и поверх уже открытых программ, игнорируя оптимизацию аккумулятора. Перекрытие любого другого работающего на устройстве приложения может использоваться для кражи учетных данных.
В существующей версии вредоносный код отправляет автоматические ответы только контактам жертвы в WhatsApp не чаще, чем раз в час. Такая тактика позволяет долгое время не вызывать подозрений у людей из списка контактов, попавших в рассылку.
По оценкам специалистов ESET, новый вирус в основном используется для распространения рекламы и мошеннических схем по подписки на различные сервисы. Однако потенциал вредоносной программы значительно опаснее.
«Обнаруженный вирус мог бы распространять более опасные угрозы, поскольку текст сообщения и ссылка на вредоносное приложение поступают с сервера злоумышленника. То есть он способен распространять банковские трояны, программы-вымогатели или шпионское ПО», – уточнил Лукас Стефанко.
Чтобы защитить себя, эксперты ESET рекомендуют не переходить по подозрительным ссылкам, загружать приложения только из Google Play, а также использовать надежное антивирусное решение.
Горячие темы