Различни видови малициозен софтвер често се кријат зад навидум безопасни апликации во официјалната продавница на Google Play. Иако платформата внимателно се следи, модераторите не можат секогаш да ги фатат таквите апликации пред да станат достапни за корисниците на Google Play.

Еден од најпопуларните типови на малициозен софтвер се тројанци „претплатници“ кои се регистрираат за платени услуги без знаење на корисникот. Најпопуларните меѓу овој тип на малициозен софтвер се Jocker, MobOk, Vesub и GriftHorse.

Но, подеднакво популарен тројанец кој остана во сенка на гореспоменатото е Harly, многу сличен на Jocker, кој доби малку променето име на асистентот на познатиот негативец од стриповите. Овие двајца тројанци веројатно имаат заедничко потекло.

Од 2020 година, повеќе од 190 апликации заразени со Harly се пронајдени на Google Play, според податоците на компанијата Kaspersky. Конзервативната проценка за бројот на преземања на овие апликации е 4,8 милиони, но вистинската бројка може да биде поголема.

Исто како и тројанците Jocker, тројанците во семејството Harly имитираат легитимни апликации. Измамниците преземаат редовни апликации од Google Play, внесуваат злонамерен код во нив, а потоа ги поставуваат на Google Play под друго име. Апликациите можеби сè уште имаат функции што се наведени во описот, па корисниците можеби дури и не се сомневаат дека нешто лошо се случува.

Повеќето членови на семејството Jocker се програми за преземање во повеќе фази (downloader). Тројанците од семејството Harly, пак, го содржат целиот payload во апликацијата и користат различни методи за дешифрирање и лансирање.

Како и другите тројанци на претплатници, Harly собира информации за уредот на корисникот, особено за мобилната мрежа. Телефонот на корисникот се префрла на мобилната мрежа и потоа тројанецот бара од серверот C&C да конфигурира листа на претплати за кои мора да аплицира.

Тројанецот ја отвора адресата за претплата во невидлив прозорец и го внесува телефонскиот број на корисникот, ги допира потребните копчиња и го внесува кодот за потврда од SMS пораката. Резултатот е дека корисникот е регистриран за услуга за која ќе плати, без воопшто да го сфати тоа.

Друга значајна карактеристика на овој тројанец е тоа што може да се претплати не само кога процесот на претплата вклучува код од СМС порака, туку и кога процесот е заштитен со телефонски повик: во овој случај, тројанецот упатува повик до одреден број и ја потврдува претплатата.

Како да се заштитите од такви тројанци? Официјалните продавници за апликации континуирано се борат против ширењето на малициозен софтвер, но не секогаш се успешни во тоа. Пред да инсталирате апликација, прво треба да ги прочитате коментарите на корисниците и да ја проверите нејзината оцена на Google Play. Се разбира, имајте на ум дека прегледите и оценките можат да бидат лажни.