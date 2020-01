Kompānijas "Kaspersky" pētnieki ir konstatējuši "Trojas zirga" veida lietotni, kas terorizē lietotājus ar nelūgtām reklāmām un veicina tiešsaistes iepirkšanās lietotņu instalēšanu, tādējādi piemuļķojot gan lietotājus, gan reklāmdevējus.

Šī ļaunlietotne slepus no ierīces īpašnieka apmeklē viedtālruņu lietotņu veikalus, lejupielādē un palaiž lietotnes, kā arī lietotāja vārdā atstāj viltus atsauksmes.

Kā uzsver uzņēmumā, tā kā veikalos sākas ziemas izpārdošanas, gan lietotājiem, gan zīmoliem ir jābūt piesardzīgiem. Izvēloties veikalus, lietotāji lielā mērā paļaujas uz atsauksmēm, savukārt mazumtirgotāji palielina pārdošanas veicināšanas un reklāmas budžetu. Izrādās, ka ne vieni, ne otri nedrīkst pilnīgi uzticēties internetā redzamajam, jo jauna Trojas zirga veida lietotne paaugstina populāru iepirkšanās lietotņu vērtējumu un instalāciju skaitu, kā arī izplata neskaitāmas reklāmas, kas var aizkaitināt lietotājus.

Par "Pircēju" iedēvētais Trojas zirgs vispirms piesaistīja pētnieku uzmanību ar plašu "Google" pieejamības pakalpojuma traucēšanu un lietošanu. Šis pakalpojums ir paredzēts, lai palīdzētu invalīdiem, un ļauj lietotājiem iestatīt balsi, kas lasa priekšā lietotnes saturu, un automatizēt mijiedarbību ar lietotāja saskarni, taču uzbrucēju rokās šis līdzeklis rada nopietnu apdraudējumu ierīces īpašniekam.

Kad ļaunprogrammatūra ir saņēmusi atļauju izmantot šo pakalpojumu, tā var iegūt gandrīz neierobežotas iespējas mijiedarboties ar sistēmas saskarni un lietotnēm. Tā var vākt ekrānā redzamos datus, piespiest pogas un pat emulēt lietotāja žestus. Pagaidām nav zināms, kā ļaunlietotne tiek izplatīta, taču "Kaspersky" pētnieki domā, ka ierīču īpašnieki to var būt lejupielādējuši no krāpnieciskām reklāmām vai trešu personu lietotņu veikaliem, kad cenšas iegūt likumīgu lietotni. Lietotne maskējas par sistēmas lietotni un, lai slēptos no lietotāja, izmanto sistēmas ikonu ar nosaukumu "ConfigAPKs".

Pēc ekrāna atbloķēšanas lietotne sāk darboties, apkopo informāciju par upura ierīci un nosūta to uz uzbrucēja serveriem. Serveris atsūta atpakaļ lietotnei izpildāmās komandas. Atkarībā no komandām lietotne var rīkoties šādi.



Izmantot ierīces īpašnieka Google vai Facebook kontu, lai reģistrētos populārās iepirkšanās un izklaides lietotnēs, tostarp AliExpress, Lazada, Zalora, Shein, Joom, Likee un Alibaba.

Ierīces īpašnieka vārdā atstāt atsauksmes par lietotnēm Google Play.

Pārbaudīt pieejamības pakalpojuma lietošanas tiesības. Ja atļauja nav piešķirta, lietotne nosūta pikšķerēšanas pieprasījumu, lai to saņemtu.

Izslēgt Google Play Protect. Tas ir līdzeklis, kas pirms lietotņu lejupielādēšanas no Google Play Store pārbauda to drošumu.

Neredzamā logā atvērt no attālā servera saņemtās saites un neparādīties lietotņu izvēlnē, kad ir atbloķēti vairāki logi.

Rādīt reklāmas, atbloķējot ierīces ekrānu, un lietotņu izvēlnē izveidot etiķetes ieteiktajām reklāmām.

Lejupielādēt lietotnes no "tirgus" Apkpure[.]com un instalēt tās.

Atvērt un lejupielādēt Google Play reklamētās lietotnes.

Instalēto lietotņu etiķetes aizstāt ar reklamēto lapu etiķetēm.



Vislielākā daļa lietotāju, kas 2019. gada oktobrī un novembrī ir inficējušies ar Trojan-Dropper.AndroidOS.Shopper.a, bija Krievijā — satriecoši 28,46% visu lietotāju, kas cietuši no šopoholiskās lietotnes, atradās šajā valstī. Gandrīz piektdaļa (18,70%) inficēšanos bija Brazīlijā, un 14,23 % — Indijā.

"Lai gan pašlaik šīs ļaunlietotnes izraisītās patiesās briesmas aprobežojas ar nelūgtām reklāmām, kā arī cietušo vārdā sniegtām neīstām atsauksmēm un vērtējumiem, nevar garantēt, ka šīs ļaunprogrammatūras izstrādātāji nenomainīs šo vērtumu ar kaut ko citu. Līdz šim ļaunlietotne ir pievērsusies mazumtirdzniecībai, taču tās iespējas ļauj uzbrucējiem izplatīt pseidoinformāciju, izmantojot lietotāju sociālo mediju kontus un citas platformas. Piemēram, tā var automātiski publicēt lietotāju kontu personiskajās lapās videofilmas, kas ietver jebko, ko "Pircēja" operatori vēlas, un pārplūdināt internetu ar neuzticamu informāciju," norāda "Kaspersky" vadītājs Baltijā Andis Šteinmanis.

