Исследование

Фальшивые антивирусы: атака клонов

Совсем недавно эксперты обнаружили в Google Play поддельный антивирус Virus Shield. От многих других подобных случаев этот отличало то, что найденный «антивирус» располагался в разделе платных приложений. Благодаря этому его создатель сразу получал деньги, и программе уже не было необходимости требовать оплаты в процессе работы, например, за удаление якобы обнаруженных зловредов. Нужно было лишь симулировать полезную деятельность, чтобы избежать негативных отзывов на странице «антивируса» в Google Play.

За Virus Shield последовала череда фальшивых приложений. Так, в начале прошлой недели мы обнаружили сразу два любопытных поддельных антивируса.

Первая подделка была найдена в Windows Phone Store, что необычно – мошенники чаще предпочитают Google Play. На этот раз платный «антивирус» именовал себя Kaspersky Mobile. В линейке продуктов «Лаборатории Касперского» нет антивирусного решения с таким названием, но это не остановило мошенников, рассчитывающих, видимо, на невнимательность пользователей.

Интересно, что эта подделка имитирует полезную деятельность – «сканирует» файлы. Но обратите внимание на скриншот – одновременно со шкалой «ход сканирования» мошенническое приложение показывает шкалу «эвристический анализ». Но, как правило, антивирусные приложения не отображают прогресс эвристического анализа в виде отдельной шкалы. Похоже, создатель фальшивки имеет весьма слабое представление о защитных технологиях.

Зато знакомство мошенника с миром разработки ПО не ограничивается одной лишь «Лабораторией Касперского». Создатель «антивируса» разместил в Windows Phone Store множество различных платных приложений, использующих названия и логотипы популярных программ.

Среди них, например, Google Chrome за 99 рублей, и почему-то более дешевый Google Chrome Pro за 59 руб. Есть несколько «антивирусных» приложений от известных разработчиков, которые на поверку отличались от Kaspersky Mobile только эмблемой и цветовой гаммой интерфейса.

Но самое интересное – наличие приложения Virus Shield за 69 руб. Это тот самый поддельный платный антивирус, впервые обнаруженный в Google Play, с которого началась наша история.

Таким образом, мы можем наблюдать, как одно успешное мошенничество порождает множество клонов. Вместо одного поддельного антивируса мошенники предлагают десятки фальшивых приложений, копирующих оформление, но не функциональность оригинала

Вторая примечательная подделка продавалась в Google Play под названием Kaspersky Anti-Virus 2014. У «Лаборатории Касперского» нет такого мобильного продукта, размещенные на странице фальшивки скриншоты «антивируса» были попросту скопированы с официальной страницыKaspersky Internet Security для Android.

Подделка никак не защищает мобильное устройство пользователя, ее создатели даже не потрудились сделать симуляцию сканирования. Вместо необходимой защиты покупатель получает лишь мошенническое приложение, вся функциональность которого сводится к выдаче случайных реплик в стиле «магического шара» на фоне логотипа Kaspersky Anti-Virus. Продукты «Лаборатории Касперского» детектируют это приложение как Trojan-FakeAV.AndroidOS.Wkas.a.

Не исключено, что в дальнейшем подобные подделки будут появляться все чаще, ведь существующие механизмы защиты официальных магазинов, как мы видим, бессильны перед подобным мошенничеством.

P.S. То ли количество попавших в ловушку покупателей фальшивого Kaspersky Internet Security для Android оказалось невелико, то ли у его разработчика проснулась жажда денег, но в итоге мошенник решил сыграть по-крупному. Помимо «антивируса» за 142 рубля мы обнаружили на его странице в Google Play другое приложение – за 3556 рублей.

На скриншотах дорогостоящая программа с красноречивым названием I am rich очень напоминала одноименное приложение для iOS, вся функциональность которого сводилась к выводу на экран картинки с рубином и мотивирующей надписи, например, «я богат». Мы не стали поддерживать мошенника и тратить 3,5 тысячи рублей на приложение, но можем предположить, что его функциональность недалеко ушла как от оригинала, так и от функциональности других поделок того же разработчика.

Фальшивые антивирусы: атака клонов

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Меченосец

    Самый обыкновенный нахальный кидала, только с познаниями в области ИТ. Скорее всего, студент старших курсов угарно потешается.

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике