Doctor Web het 'n klik-Trojaan in die amptelike katalogus van Android-toepassings ontdek wat gebruikers outomaties op betaalde dienste kan inteken. Virusontleders het verskeie wysigings van hierdie kwaadwillige program, genoem , и . Om hul ware doel weg te steek en ook die waarskynlikheid van opsporing van die Trojaan te verminder, het aanvallers verskeie tegnieke gebruik.
Eerstens, het hulle klikkers in onskadelike toepassings ingebou - kameras en beeldversamelings - wat hul beoogde funksies verrig het. As gevolg hiervan was daar geen duidelike rede vir gebruikers en inligtingsekuriteitspersoneel om hulle as 'n bedreiging te beskou nie.
Tweedens, is alle wanware beskerm deur die kommersiële Jiagu-verpakker, wat opsporing deur antivirusse bemoeilik en kode-analise bemoeilik. Op hierdie manier het die Trojaan 'n beter kans gehad om opsporing te vermy deur die ingeboude beskerming van die Google Play-gids.
Derdens, het virusskrywers probeer om die Trojaan as bekende advertensie- en analitiese biblioteke te vermom. Sodra dit by die draerprogramme gevoeg is, is dit in die bestaande SDK's van Facebook en Adjust ingebou, en skuil tussen hul komponente.
Boonop het die kliker gebruikers selektief aangeval: dit het geen kwaadwillige aksies uitgevoer as die potensiële slagoffer nie 'n inwoner van een van die lande van belang vir die aanvallers was nie.
Hieronder is voorbeelde van toepassings met 'n Trojaan daarin ingebed:
Nadat die kliker geïnstalleer en begin is (hierna sal die wysiging daarvan as voorbeeld gebruik word ) probeer om toegang tot bedryfstelselkennisgewings te verkry deur die volgende versoek te wys:
As die gebruiker instem om hom die nodige toestemmings te gee, sal die Trojaan alle kennisgewings oor inkomende SMS'e kan versteek en boodskaptekste kan onderskep.
Vervolgens stuur die kliker tegniese data oor die besmette toestel na die beheerbediener en kontroleer die reeksnommer van die slagoffer se SIM-kaart. As dit ooreenstem met een van die teikenlande, stuur inligting aan die bediener oor die telefoonnommer wat daarmee geassosieer word. Terselfdertyd wys die kliker vir gebruikers van sekere lande 'n uitvissingsvenster waar hulle hulle vra om 'n nommer in te voer of by hul Google-rekening aan te meld:
As die slagoffer se SIM-kaart nie aan die land van belang vir die aanvallers behoort nie, neem die Trojaan geen aksie nie en stop sy kwaadwillige aktiwiteite. Die nagevorsde wysigings van die klikaanval inwoners van die volgende lande:
- Oostenryk
- Italië
- Frankryk
- Thailand
- Maleisië
- Duitsland
- Qatar
- Pole
- Griekeland
- Ierland
Nadat die nommerinligting oorgedra is wag vir opdragte vanaf die bestuursbediener. Dit stuur take na die Trojaan, wat die adresse van webwerwe bevat om af te laai en in JavaScript-formaat te kodeer. Hierdie kode word gebruik om die kliker deur die Javascript-koppelvlak te beheer, opspringboodskappe op die toestel te vertoon, klikke op webblaaie uit te voer en ander aksies.
Nadat u die webwerfadres ontvang het, maak dit oop in 'n onsigbare WebView, waar die voorheen aanvaarde JavaScript met parameters vir kliks ook gelaai word. Nadat 'n webwerf met 'n premium diens oopgemaak is, klik die Trojaan outomaties op die nodige skakels en knoppies. Vervolgens ontvang hy verifikasiekodes van SMS en bevestig hy onafhanklik die intekening.
Ten spyte van die feit dat die kliker nie die funksie het om met SMS te werk en toegang tot boodskappe te kry nie, omseil dit hierdie beperking. Dit gaan so. Die Trojaanse diens monitor kennisgewings van die toepassing, wat by verstek toegewys is om met SMS te werk. Wanneer 'n boodskap aankom, versteek die diens die ooreenstemmende stelselkennisgewing. Dit onttrek dan inligting oor die ontvangde SMS daaruit en stuur dit na die Trojaanse uitsaai-ontvanger. Gevolglik sien die gebruiker geen kennisgewings oor inkomende SMS nie en is nie bewus van wat aan die gebeur is nie. Hy leer eers van inteken op die diens wanneer geld uit sy rekening begin verdwyn, of wanneer hy na die boodskapkieslys gaan en SMS sien wat met die premiumdiens verband hou.
Nadat Doctor Web-spesialiste Google gekontak het, is die bespeurde kwaadwillige toepassings van Google Play verwyder. Alle bekende wysigings van hierdie kliker word suksesvol opgespoor en verwyder deur Dr.Web anti-virus produkte vir Android en hou dus nie 'n bedreiging vir ons gebruikers in nie.
Bron: will.com