Новый троян для Android скупает контент в магазине China Mobile

Компания TrustGo заявила об обнаружении очередного трояна для Android-платформ, реализующего новую схему. Троян под названием MMarketPay.A распространялся под видом легитимных приложений через локальные хранилища приложений Китая.

В отличие от ранее обнаруженных троянов для Android, MMarketPay не показывал пользователю рекламу и даже не отправлял SMS на платные номера. Новый механизм мошенничества заключался в автоматической покупке приложений и медиа-контента через Mobile Market (M-Market) — магазин приложений и контента крупнейшего сотового оператора China Mobile («mm.10086.cn»).

По предположению, некоторая часть покупаемого таким образом контента, была размещена вирусмейкерами и использовалась для получения легального дохода с его продаж. Так как, покупаемый контент выбирался при помощи поиска по ключевым словам, далеко не весь контент принадлежал владельцам трояна. Этот факт лишь осложнил установление личностей авторов MMarketPay.

Троян MMarketPay.A был создан с учетом особенностей покупки контента в магазине M-Market и позволял обойти систему авторизации и подтверждения покупки. Троян перехватывал код подтверждения, пересылаемый магазином по SMS и автоматически подтверждал покупку контента. В случае, если требовался ввод CAPTHA-кода, его изображение отправлялось на C&C сервер, а в ответ приходили корректные данные для его ввода. Всего, было выявлено более 100 тыс заражений этим трояном. Вредоносные приложения, содержащие троян распространялись через магазины: nDuoa, GFan, AppChina, LIQU, ANFONE, Soft.3g.cn, TalkPhone, 159.com и AZ4SD.