18/10/23
Поддельная версия приложения «RedAlert» продолжает распространяться среди пользователей Android в Израиле. Она поддерживает все функции официальной версии, но в скрытом режиме ведет слежку за хозяином устройства.
Оригинальное «RedAlert» уже было загружено в Google Play более миллиона раз. Сейчас для Израиля это инструмент жизненной важности, через который граждане получают уведомления о ракетных атаках.
Вредоносное приложение распространялось через сайт «redalerts[.]me», созданный 12 октября 2023 года. На сайте есть кнопки для установки на iOS и Android. Это передает Securitylab.
Пользователей iOS ссылка ведет на официальную страницу в магазине Apple App Store. Но кнопка для Android начинает загрузку APK-файла напрямую.
Этот APK-файл использует исходный код настоящего RedAlert, поэтому он выглядит абсолютно законным. Однако приложение требует дополнительные разрешения: доступ к контактам, номерам телефона, SMS, истории звонков, IMEI-номер устройства, электронной почте и другим учетным записям.
При старте приложение активирует фоновую службу, которая собирает и шифрует данные, затем отправляет их на сторонний сервер.
Сейчас сайт недоступен. Но злоумышленники, скорее всего, будут искать новые пути распространения своего ПО. Интересно, что даже настоящее RedAlert сталкивалось с проблемами: хакеры эксплуатировали уязвимости API, чтобы отправлять пользователям ложные уведомления.
Чтобы отличить настоящее приложение от поддельного, израильтян просят в первую очередь обращать внимание на разрешения, которые приложение запрашивает при установке, а также регулярно обновлять систему до последней версии.
