Вредоносное приложение было обнаружено ИБ-исследователем Максимом Инграо, работающим в компании Evina. Оно называется Symoo и имеет более 100 000 загрузок в Google Play. По словам исследователя, после установки приложения, SIM-карты жертв начинают использоваться в качестве “виртуальных номеров” для создания аккаунтов на сайтах Microsoft, Google, Instagram, Telegram и Facebook.
Работает вредоносное приложение просто – после установки запрашивает доступ к отправке и чтению SMS-сообщений, что не вызывает подозрений у жертв, так как Symoo рекламируется как “простое приложение для отправки SMS”. Самое интересное начинается после установки:
На первом экране пользователя просят указать свой номер телефона, после чего появляется фальшивый экран загрузки;
Процесс “загрузки” затягивается, позволяя удаленным операторам отправить на номер телефона жертвы одноразовый код от нужного сервиса и переслать его обратно операторам;
После завершения процесса приложение зависает, так и не предоставив пользователю обещанный функционал.
И даже несмотря на то, что обманутые пользователи удаляют нерабочее приложение, это никак не исправляет ситуацию, ведь их номер телефона уже был использован для создания чужих аккаунтов на различных онлайн-платформах.
Кроме того, Максим Инграо обнаружил, что Symoo передает SMS-сообщения с телефонов жертв на домен, используемый приложением “ActivationPW – Virtual numbers”, которое позволяет пользователю за 50 центов “арендовать” номер телефона и с его помощью создать аккаунт на нужной площадке. Стоит отметить, что это приложение уже удалено из Google Play, а Symoo – нет.