По сообщению компании «Доктор Веб», ее специалисты обнаружили троянца Android.FakeApp.174, который загружает в Google Chrome сомнительные сайты, где пользователей подписывают на рекламные уведомления. Эти уведомления приходят, даже если браузер закрыт, и могут быть ошибочно приняты за системные. Они не только мешают работе Android-устройств, но и способны привести к краже денег и конфиденциальной информации.

Технология Web Push позволяет сайтам с согласия пользователя отправлять ему уведомления, даже когда соответствующие веб-страницы не открыты в браузере. Например, соцсети могут информировать о новых сообщениях, а новостные агентства – о свежих публикациях. С другой стороны, злоумышленники и недобросовестные рекламодатели распространяют с помощью этой технологии рекламу и мошеннические уведомления со взломанных или вредоносных сайтов.

Уведомления поддерживаются в браузерах как ПК и ноутбуков, так и мобильных устройств. Обычно жертва попадает на сомнительный ресурс, перейдя по специально сформированной ссылке или рекламному баннеру. Android.FakeApp.174 – один из первых троянцев, которые увеличивают число посетителей этих сайтов, подписывая на уведомления именно пользователей смартфонов и планшетов.

Android.FakeApp.174 распространяется под видом полезных программ, например, официального ПО известных брендов. Две такие модификации троянца вирусные аналитики «Доктор Веб» обнаружили в начале июня в каталоге Google Play. После обращения в корпорацию Google вредоносные программы были удалены, но их успели загрузить свыше 1000 пользователей.

При запуске троянец загружает в Google Chrome сайт, адрес которого указан в настройках вредоносного приложения. С этого сайта в соответствии с его параметрами поочередно выполняется несколько перенаправлений на страницы различных партнерских программ. На каждой из них пользователю предлагается разрешить получение уведомлений. Для убедительности жертве сообщается, что выполняется некая проверка (например, что пользователь — не робот), либо просто дается подсказка, какую кнопку диалогового окна необходимо нажать. Это делается для увеличения числа успешных подписок.

После активации подписки сайты начинают отправлять пользователю уведомления сомнительного содержания. Они приходят, даже если браузер закрыт, а сам троянец уже был удален, и отображаются в панели состояния ОС. Это могут быть ложные уведомления о поступлении неких денежных бонусов или переводов, о новых сообщениях в соцсетях, реклама гороскопов, казино, товаров и услуг и даже различные «новости». Многие из них выглядят как настоящие уведомления реальных онлайн-сервисов и приложений, которые могут быть установлены на устройстве. Например, в них отображается логотип того или иного банка, сайта знакомств, новостного агентства или социальной сети, а также привлекательный баннер. Несмотря на то, что в этих уведомлениях указан адрес сайта, с которого оно пришло, пользователь может просто его не заметить либо не придать особого значения. При нажатии на такое уведомление пользователь перенаправляется на сайт с сомнительным контентом. Многие из этих ресурсов, в частности, замешаны в известных мошеннических схемах кражи денег.

Специалисты «Доктор Веб» полагают, что злоумышленники будут активнее использовать этот метод, поэтому пользователям мобильных устройств при посещении сайтов следует внимательно ознакомиться с их содержимым и не подписываться на уведомления, если ресурс незнаком или выглядит подозрительным. Если же подписка уже имеет место, нужно зайти в настройки Google Chrome, выбрать опцию «Настройки сайтов» и далее «Уведомления», в появившемся списке сайтов и уведомлений найти адрес нужного ресурса, нажать на него и выбрать опцию «Очистить и сбросить».

Антивирусные продукты Dr.Web для Android детектируют и удаляют все известные модификации Android.FakeApp.174.