Привет из Малайзии

В середине февраля 2013 года один из наших пользователя из Малайзии обратился к нам с просьбой проверить приложение «My HRMIS & JPA Demo» от автора «Nur Hazri» из Google Play.

Подозрение пользователя вызвало большое количество разрешений, необходимых для работы этого приложения, хотя заявленный функционал – всего лишь открытие четырех сайтов.

После запуска приложение показывает пользователю четыре картинки-кнопки:

После нажатия на соответствующую картинку в стандартном браузере Android открывается сайт:

кнопка 1 открывает http://www.bheuu.gov.my/puspanita/;

кнопка 2 — http://www.jpa.gov.my/;

кнопка 3 — http://www.mampu.gov.my/web/guest;

кнопка 4 — http://www.eghrmis.gov.my/.

Это то, что видит пользователь. Однако есть кое-что, чего он не знает: при нажатии на кнопку 2 произойдет не только открытие сайта, но и… кража 10 последних контактов (имя и номер), а после нажатия кнопки 4 приложение сначала украдет последние три входящих сообщения, а затем уже откроет веб-страницу.

В обоих случаях кража происходит с помощью отправки SMS со всеми данными в текстовом виде на номер 0187109971.

Этот шпион нацелен на Малазийских пользователей, что подтверждают данные нашего сервиса KSN – мы видели установки только с территории Малайзии.

Приложение «My HRMIS & JPA Demo» было задетектировано нами, как Trojan-Spy.AndroidOS.Nuhaz.a. Мы проинформировали службу безопасности Google о наличии угрозы в магазине приложений. В настоящее время вредоносное приложение удалено.

PS У этого же автора есть еще две программы в Google Play:

Это «легальные шпионы», мы детектируем их как not-a-virus:HEUR:Monitor.AndroidOS.Crakm.a и not-a-virus:HEUR:Monitor.AndroidOS.Lambs.a.