После введения ограничений на работу Telegram в России количество предложений по установке VPN-клиентов для Android в рунете выросло примерно на 200%. Такие приложения часто продаются по низкой цене и могут содержать скрытые вредоносные функции, сообщили в пресс-службе компании по информационной безопасности RTM Group.
В RTM Group отмечают, что после действий Роскомнадзора пользователи рунета стали активно искать способы восстановления доступа к заблокированным сервисам, включая Telegram. Эта активность привлекла мошенников, которые начали продвигать новые VPN-клиенты по символической цене — около 50 рублей. Исследователи компании проанализировали одно из таких приложений и выявили в нём вредоносные функции.
Результаты анализа показали, что приложение разворачивает на устройстве жертвы локальный VPN-сервер и перенаправляет весь трафик на сторонний сервер за пределами России. При установке программа запрашивает расширенные разрешения, включая доступ к контактам, журналу вызовов, буферу обмена и функциям специальных возможностей, что позволяет собирать данные с экрана. Передача информации осуществляется не только из мессенджеров, но и из других приложений. Код приложения был намеренно усложнён, чтобы затруднить его анализ.
«Основные риски использования такого приложения включают утечку личных данных, компрометацию аккаунтов и потенциальное использование устройства жертвы как прокси для атак на третьих лиц. Проблема растёт очень быстро: злоумышленники используют доверие пользователей и их стремление быстро восстановить доступ к контенту», — отмечается в отчёте RTM Group.
