Фишеры и спамеры нашли
способ использовать API ОС Android
для рассылки рекламных сообщений под видом уведомлений о пропущенных звонках. Обман
сводится к подмене иконки.

Пропущенный звонок

Пользователи Android подверглись
спам-атаке со стороны злоумышленников, нашедших способ эксплуатировать API мобильной операционной
системы, предназначенные для вывода push-уведомлений (Notifications и Push).

Спамерские сообщения рассылаются
через Google Chrome для Android. При этом фишеры
смогли подменить иконку уведомлений, так что пользователь получает якобы уведомления
о пропущенных звонках, хотя рядом с иконкой фигурирует и название Chrome, и ссылка на домен,
откуда исходит сообщение. В итоге оказывается, что это фейковое сообщение о
выигрыше дармового iPhoneXS.

Уведомления могут выводиться
локальным приложением, даже если оно в данный момент не активно, или удаленным
сервером. Акцию спамеров обнаружил сервис компании Lookout Phishing AI.

Не открывайте двери незнакомым

Push-сообщения
приходят только в том случае, если пользователь сам разрешил тому или иному
домену присылать их. Это существенно ограничивает возможности спамеров. Однако
если им каким-то образом удается скомпрометировать популярный сайт и выудить у
пользователя согласие на отправку ему уведомлений, то у злоумышленников
появляются существенные козыри.

Спам в push-уведомлениях Chrome для Android имитирует пропущенные звонки

На данный момент за
отправкой Push-спама
замечены домены consumertestconnect.com, foundmoneyguide.com, getitfree-samples.com, click4riches.info, yousweeps.com.

Не все сообщения от этих
доменов используют трюк с поддельной иконкой: видимо, злоумышленники пытаются
использовать различные варианты спама, чтобы понять, что эффективнее.

Эксперты Lookout указывают, что этот
метод вряд ли сработает на iOS, поскольку штатный браузер устройств AppleSafari не поддерживает push-уведомления в полной
мере. Зато жертвами аналогичных кампаний легко могут стать пользователи
десктопов, особенно на базе Windows.

Единственный пока способ
защититься — не давать согласие на push-уведомления на сайтах, которые могут вызывать
хотя бы минимальные подозрения, а если согласие все-таки выдано, то смотреть
внимательнее на то, откуда исходит уведомление.

«По сути, речь идет о
социальной инженерии, — не слишком замысловатой, но в теории довольно
эффективной, поскольку мы чаще всего ориентируемся на визуальные индикаторы в
первую очередь, — считает Анастасия
Мельникова
, эксперт по информационной безопасности компании SEC Consult Services. — Впрочем, подобные
“кунштюки” довольно быстро перестают работать, если работают вовсе. Реклама под
видом пропущенного звонка, да еще и мошенническая, — что может раздражать
сильнее?».

Короткая ссылка на материал: http://cnews.ru/link/n479261

Источник