Компания «Лаборатория Касперского» сообщила о результатах изучения ландшафта мобильных троянцев, специализирующихся на скрытых подписках на платные услуги. По данным компании, из пользователей, столкнувшихся с таким ПО в 2021–2022 гг., 27% находилось в России. Чаще всего в результате действий троянцев со счета пользователя без его ведома снимается оплата за различные легитимные услуги, а злоумышленники получают за это определенный процент. Однако бывает и так, что вредоносное ПО оформляет подписку на «услуги» самих атакующих. Среди троянцев, получивших распространение в России, эксперты отмечают, в частности, MobOk, GriftHorse.l и GriftHorse.ae.

Троянец MobOk, попав на устройство, запрашивает доступ к СМС или push-уведомлениям. Это позволяет ему перехватывать коды подтверждения для оформления подписки. Далее в невидимом окне открывается страница подписки и в нее подставляется код подтверждения. MobOk умеет обходить тест CAPTCHA: для распознавания кода на картинке троянец отправляет ее на специальный сервис.

Троянец GriftHorse.l оформляет подписку на «услуги» самих злоумышленников – такое случается, если потенциальная жертва пропустит или невнимательно прочитает пользовательское соглашение. ПО распространяется через Google Play, например под видом приложения, якобы предлагающего составить индивидуальный план похудения всего за 29 рублей. Однако, если прокрутить страницу оплаты, можно увидеть, что доступ к «сервису» предоставляется по подписке с использованием автоплатежа, а не разовой оплаты. В комментариях к приложению пользователи жалуются, что отменить оформленную подписку невозможно, а некоторые отмечают, что не получили услугу после оплаты.

Еще один троянец, GriftHorse.ae, относится к тому же семейству, но ведет себя иначе. Он выдает себя за приложения для восстановления удаленных файлов, редактирования фотографий и видео, моргания вспышкой при входящем звонке, навигации, сканирования документов. Однако эти программы умеют только запрашивать номер телефона якобы для входа и оформлять подписку при нажатии кнопки «Войти». Подписка оплачивается с мобильного счета, поэтому для ее оформления достаточно номера телефона. Распространяется GriftHorse.ae также через официальный магазин приложений.

Как подчеркивают в «Лаборатории Касперского», даже если подписки, на которые оформляют пользователей, будут недорогими, такого рода вредоносное ПО не стоит недооценивать. Если злоумышленники получат доступ к СМС или push-уведомлениям, данные владельца устройства окажутся под угрозой. Чтобы избежать нежелательных подписок, «Лаборатория Касперского» рекомендует пользователям соблюдать базовые правила кибербезопасности.