SHA1:
- 61b9fba3afe6d5e7fc6d147605b8a9feb88b2080
- 73c9a813300c1a284b3b8919ea00c3327445eaf0
Троянская программа, предназначенная для работы на устройствах под управлением ОС Android. Написана на языке Kotlin. Android.Click.248.origin может распространяться через каталог Google Play под видом известных приложений, например Viber, «Авито», «Алиса», «Юла» и пр.
После запуска Android.Click.248.origin проверяет IP-адрес зараженного устройства. В зависимости от страны, в которой находится пользователь, троянец получает задание на загрузку определенных веб-сайтов. На них потенциальной жертве предлагается указать номер мобильного телефона для получения некоего выигрыша (например, нового смартфона) или для скачивания тех или иных программ. После ввода номера пользователь получает проверочный код, якобы необходимый для завершения операции загрузки ПО или получения приза. Однако этот код в действительности необходим для подтверждения подписки на дорогостоящую услугу, за использование которой взимается плата.
Если зараженное устройство подключено к Интернету через мобильное соединение, то при вводе номера телефона на таком мошенническом сайте владелец Android-смартфона или планшета подписывается на премиум-услугу автоматически.
Злоумышленники управляют троянцем через облачный сервис Firebase.
