Приложение, предупреждающее израильтян о ракетных атаках, таит в себе еще одну угрозу

Поддельная версия приложения «RedAlert» продолжает распространяться среди пользователей Android в Израиле. Она поддерживает все функции официальной версии, но в скрытом режиме ведет слежку за хозяином устройства.

Оригинальное «RedAlert» уже было загружено в Google Play более миллиона раз. Сейчас для Израиля это инструмент жизненной важности, через который граждане получают уведомления о ракетных атаках.

По данным компании Cloudflare , хакеры, цели и происхождение которых еще не установлены, хорошо осознают, что ситуация в стране критическая и люди вряд ли будут думать о сторонних, менее значительных рисках.

Вредоносное приложение распространялось через сайт «redalerts[.]me», созданный 12 октября 2023 года. На сайте есть кнопки для установки на iOS и Android.

Пользователей iOS ссылка ведет на официальную страницу в магазине Apple App Store. Но кнопка для Android начинает загрузку APK -файла напрямую.

Этот APK-файл использует исходный код настоящего RedAlert, поэтому он выглядит абсолютно законным. Однако приложение требует дополнительные разрешения: доступ к контактам, номерам телефона, SMS, истории звонков, IMEI-номер устройства, электронной почте и другим учетным записям.

При старте приложение активирует фоновую службу, которая собирает и шифрует данные, затем отправляет их на сторонний сервер.

Сейчас сайт недоступен. Но злоумышленники, скорее всего, будут искать новые пути распространения своего ПО. Интересно, что даже настоящее RedAlert сталкивалось с проблемами: хакеры эксплуатировали уязвимости API, чтобы отправлять пользователям ложные уведомления.

Чтобы отличить настоящее приложение от поддельного, израильтян просят в первую очередь обращать внимание на разрешения, которые приложение запрашивает при установке, а также регулярно обновлять систему до последней версии.