Поддельная версия приложения “RedAlert” продолжает распространяться среди пользователей Android в Израиле. Она поддерживает все функции официальной версии, но в скрытом режиме ведет слежку за хозяином устройства.
Оригинальное “RedAlert” уже было загружено в Google Play более миллиона раз. Сейчас для Израиля это инструмент жизненной важности, через который граждане получают уведомления о ракетных атаках.
По данным компании Cloudflare, хакеры, цели и происхождение которых еще не установлены, хорошо осознают, что ситуация в стране критическая и люди вряд ли будут думать о сторонних, менее значительных рисках.
Вредоносное приложение распространялось через сайт “redalerts[.]me”, созданный 12 октября 2023 года. На сайте есть кнопки для установки на iOS и Android.
Пользователей iOS ссылка ведет на официальную страницу в магазине Apple App Store. Но кнопка для Android начинает загрузку APK-файла напрямую.
Этот APK-файл использует исходный код настоящего RedAlert, поэтому он выглядит абсолютно законным. Однако приложение требует дополнительные разрешения: доступ к контактам, номерам телефона, SMS, истории звонков, IMEI-номер устройства, электронной почте и другим учетным записям.
При старте приложение активирует фоновую службу, которая собирает и шифрует данные, затем отправляет их на сторонний сервер.
Сейчас сайт недоступен. Но злоумышленники, скорее всего, будут искать новые пути распространения своего ПО. Интересно, что даже настоящее RedAlert сталкивалось с проблемами: хакеры эксплуатировали уязвимости API, чтобы отправлять пользователям ложные уведомления.
Чтобы отличить настоящее приложение от поддельного, израильтян просят в первую очередь обращать внимание на разрешения, которые приложение запрашивает при установке, а также регулярно обновлять систему до последней версии.