«Лабораторія Касперського» спільно з оператором стільникового зв'язку МТС розкрила досить незвичайну шахрайську схему, за допомогою якої зловмисники підписують абонентів стільникових мереж на платні послуги без їх відома.
Зазвичай для передплати користувача на платну контент-послугу кіберзлочинці застосовують шкідливі додатки, підроблені сайти, вразливості верстки сторінок або помилки бізнес-логіки самих систем роботи з контентом. Однак в даному випадку була використана вразливість дворічної давності в одному зі стандартних компонентів платформи Android - штатному оглядачі Android Browser (AOSP Browser).
Суть атаки полягає в тому, що скрипт із сайту зловмисників виконується в контексті іншого, легітимного, сайту, наприклад, на веб-сторінці стільникового оператора. Саме цей шкідливий код виконує дії, необхідні для оформлення передплати на платні послуги. Жертва ж лише отримує SMS-повідомлення про успішне завершення операції. Таким чином, будь-які підтвердження підписки з боку користувача просто не потрібні.
"Поки кіберзлочинці випробували цю шахрайську схему на відносно не витратному для атакованих користувачів сценарії. Однак ніщо не заважає їм рухатися далі. Аналогічну схему шахрайства можна реалізувати і в інших випадках, наприклад, при здійсненні покупок через мобільні версії сайтів або при роботі з інтернет-банкінгом у браузері, а не в додатку ", - кажуть експерти.
Потрібно зазначити, що AOSP Browser присутній в тому чи іншому вигляді на багатьох мобільних пристроях з операційною системою, не оновлених до версії Android 5.0 і вище. Таким чином, у групі ризику потенційно виявляється понад 500 мільйонів пристроїв.
