4 lipca eksperci z Kaspersky Lab zostali poinformowani przez jednego z największych rosyjskich operatorów komórkowych – MegaFon – o podejrzanej aplikacji Find and Call, która pojawiła się w oficjalnych sklepach Apple App Store oraz Google Play. Po przeprowadzeniu analizy przez specjalistów z Kaspersky Lab okazało się, że Find and Call jest wieloplatformowym trojanem, który kradnie książki adresowe z zainfekowanych smartfonów działających pod kontrolą systemu iOS oraz Android
i wysyła spamowe wiadomości SMS.
Rosyjskojęzyczni użytkownicy mogli natrafić na trojana Find and Call w sklepach App Store oraz Google Play. Aplikacja rzekomo oferowała możliwość bezpłatnego rozmawiania ze znajomymi. Po instalacji ikona aplikacji pojawiała się na ekranie zainfekowanego smartfona.
Jak działa Find and Call?
Po uruchomieniu aplikacja prosi użytkownika o dokonanie rejestracji przy użyciu adresu e-mail i numeru telefonu komórkowego. Następnie użytkownik otrzymuje możliwość „poszukania znajomych w książce telefonicznej” i jeżeli się na to zdecyduje, trojan ukradkowo pobiera wszystkie kontakty i wysyła je na serwer kontrolowany przez cyberprzestępców. Aplikacja nie wyświetla żadnej informacji na ten temat, żadnej umowy ani żadnych warunków, na jakich przechowywane będą dane pobrane z telefonu. Cały proces jest niezauważalny dla użytkownika. Dodatkowo, trojan pobiera i wysyła do cyberprzestępcy informacje o współrzędnych GPS zainfekowanego urządzenia.
Co dzieje się dalej? Dane ukradzione z zainfekowanych smartfonów są wykorzystywane przez cyberprzestępców do przeprowadzania kampanii spamowych. Każda osoba znajdująca się na liście kontaktów zainfekowanego telefonu otrzyma wiadomość SMS z zaproszeniem do pobrania i zainstalowania aplikacji Find and Call. Warto wspomnieć, że informacja o nadawcy jest fałszowana i zawiera numer telefonu ofiary. Innymi słowy, odbiorca będzie myślał, że SMS został wysłany przez jego znajomego.
Kto stworzył trojana Find and Call?
Strona aplikacji pozwala (po zalogowaniu się) na wprowadzenie dodatkowych informacji o użytkowniku, takich jak konta w serwisach społecznościowych, konta e-mail, a nawet konto PayPal. Gdy użytkownik spróbuje dodać pieniądze na swoje konto aplikacji Find and Call, zauważy, że pieniądze trafiają do organizacji o nazwie LABWEALTH.COM PTE. LTD. Po wejściu na stronę labwealth.com można się przekonać, że pełna nazwa firmy to „Wealth Creation Laboratory”, a jej siedziba znajduje się w Singapurze.
Po szybkiej interwencji operatora MegaFon, ekspertów z Kaspersky Lab, a także firm Apple i Google, aplikacja została skasowana ze sklepów App Store oraz Google Play.
Warto wspomnieć, że chociaż szkodliwe oprogramowanie w sklepie Google Play nie jest nowością, tego typu aplikacja nie pojawiła się nigdy jeszcze w App Store. Od pięciu lat – kiedy miała miejsce premiera oficjalnego sklepu z aplikacjami Apple – nie zarejestrowano żadnego incydentu z udziałem szkodliwego oprogramowania dla platformy iOS. Mamy zatem do czynienia ze swego rodzaju precedensem.
– Chociaż zagrożenie związane z trojanem Find and Call dotyczyło wyłącznie rosyjskojęzycznych użytkowników smarfonów i zostało już zażegnane, cyberprzestępcy po raz kolejny pokazali, że zagrożenia mobilne nie są już tylko legendami – mówi Maciej Ziarek, ekspert z Kaspersky Lab Polska. –Find and Call nie tylko potrafił działać w dwóch różnych systemach – iOS oraz Android – ale także z powodzeniem przedostał się do oficjalnych sklepów z aplikacjami Apple App Store oraz Google Play.