Специалисты компании Symantec предупредили, что через Google Play распространялся неофициальный клиент для Telegram, MobonoGram 2019, представлявший угрозу для пользователей и отнесенный исследователи к семейству малвари Android.Fakeyouwon.
Опасное приложение, созданное неким RamKal Developers, было установлено более 100 000 раз и успело обновиться пять раз. Исследователи подчеркивают, что MobonoGram 2019 был доступен пользователям в регионах, где запрещено использование Telegram (например, в России и Иране).
Разработчики клиента использовали легитимные исходники Telegram, но добавили в свое приложение ряд скриптов, которые скрыто работали на зараженных устройствах, занимаясь сохранением и загрузкой URL-адресов, полученных от командного сервера.
Чтобы обеспечить долгосрочное присутствие в системе, разработчики приложения позаботились о том, чтобы вредоносная служба работала на переднем плане. Это уменьшало вероятность того, что она будет остановлена системой даже при нехватке оперативной памяти. Впрочем, на случай если работа служба все же была завершена, существовал специальный таймер, отсчитывающий два часа от этого события, а затем снова запускавший «убитую» службу.
Сразу после запуска MobonoGram 2019 тот связывался со своими управляющим сервером, чтобы получить URL-адреса, к которым нужно получить доступ с зараженного устройства, а также информацию о user agent, которые нужно использовать для маскировки, и три JavaScript. Исследователи считают, что эти JavaScript использовались для кликфрода и увеличения доходов от рекламы, хотя поймать приложение на таком поведении во время тестов не удалось.
При этом информация о user agent, полученная с одного и того же сервера, отличалась для каждой жертвы, равно как и URL-адреса, которые менялись в зависимости от географического положения устройства, определенного по IP-адресу. Например, зараженные устройства из США должны были загрузить мошеннический сайт, сообщающий о фальшивом выигрыше. Похожий ресурс «продвигали» и зараженные устройства из Сингапура, тогда как гаджеты в других странах чаще работали с контентом и играми для взрослых.
Эксперты пишут, что разработчик приложения, RamKal Developers, ответственен не только за создание MobonoGram 2019. Этот же разработчик опубликовал в Google Play другое приложение, Whatsgram, которое демонстрировало такое же вредоносное поведение.
С января по май 2019 года аналитики Symantec выявили и заблокировали 1235 заражений, связанных с семейством Android.Fakeyouwon. Набольшее число пострадавших было обнаружено в США, Иране, Индии и ОАЭ, тогда как именно MobonoGram 2019 в основном атаковал пользователей в Иране, США, ОАЭ и Германии.
Вредоносное приложение уже было удалено из Google Play, но исследователи предупреждают, что оно по-прежнему доступно в сторонних каталогах для Android и по-прежнему опасно.