«Лаборатория Касперского» совместно с оператором сотовой связи МТС раскрыла довольно необычную мошенническую схему, посредством которой злоумышленники подписывают абонентов сотовых сетей на платные услуги без их ведома.
Обычно для подписки пользователя на платную контент-услугу киберпреступники применяют вредоносные приложения, поддельные сайты, уязвимости вёрстки страниц или ошибки бизнес-логики самих систем работы с контентом. Однако в данном случае была использована уязвимость двухлетней давности в одном из стандартных компонентов платформы Android — штатном обозревателе Android Browser (AOSP Browser).
Суть атаки заключается в том, что скрипт с сайта злоумышленников исполняется в контексте другого, легитимного, сайта, например, на веб-странице сотового оператора. Именно этот вредоносный код выполняет действия, необходимые для оформления подписки на платные услуги. Жертва же лишь получает SMS-уведомление об успешном завершении операции. Таким образом, какие-либо подтверждения подписки со стороны пользователя попросту не требуются.
«Пока киберпреступники опробовали эту мошенническую схему на относительно не затратном для атакуемых пользователей сценарии. Однако ничто не мешает им двигаться дальше. Аналогичную схему мошенничества можно реализовать и в других случаях, например, при совершении покупок через мобильные версии сайтов или при работе с интернет-банкингом в браузере, а не в приложении», — говорят эксперты.
Нужно отметить, что AOSP Browser присутствует в том или ином виде на многих мобильных устройствах с операционной системой, не обновлённых до версии Android 5.0 и выше. Таким образом, в группе риска потенциально оказывается более 500 миллионов устройств.
Источник:
