Doctor Web het 'n klik-Trojaan in die amptelike katalogus van Android-toepassings ontdek wat gebruikers outomaties op betaalde dienste kan inteken. Virusontleders het verskeie wysigings van hierdie kwaadwillige program, genoem
Eerstens, het hulle klikkers in onskadelike toepassings ingebou - kameras en beeldversamelings - wat hul beoogde funksies verrig het. As gevolg hiervan was daar geen duidelike rede vir gebruikers en inligtingsekuriteitspersoneel om hulle as 'n bedreiging te beskou nie.
Tweedens, is alle wanware beskerm deur die kommersiële Jiagu-verpakker, wat opsporing deur antivirusse bemoeilik en kode-analise bemoeilik. Op hierdie manier het die Trojaan 'n beter kans gehad om opsporing te vermy deur die ingeboude beskerming van die Google Play-gids.
Derdens, het virusskrywers probeer om die Trojaan as bekende advertensie- en analitiese biblioteke te vermom. Sodra dit by die draerprogramme gevoeg is, is dit in die bestaande SDK's van Facebook en Adjust ingebou, en skuil tussen hul komponente.
Boonop het die kliker gebruikers selektief aangeval: dit het geen kwaadwillige aksies uitgevoer as die potensiële slagoffer nie 'n inwoner van een van die lande van belang vir die aanvallers was nie.
Hieronder is voorbeelde van toepassings met 'n Trojaan daarin ingebed:
Nadat die kliker geïnstalleer en begin is (hierna sal die wysiging daarvan as voorbeeld gebruik word
As die gebruiker instem om hom die nodige toestemmings te gee, sal die Trojaan alle kennisgewings oor inkomende SMS'e kan versteek en boodskaptekste kan onderskep.
Vervolgens stuur die kliker tegniese data oor die besmette toestel na die beheerbediener en kontroleer die reeksnommer van die slagoffer se SIM-kaart. As dit ooreenstem met een van die teikenlande,
As die slagoffer se SIM-kaart nie aan die land van belang vir die aanvallers behoort nie, neem die Trojaan geen aksie nie en stop sy kwaadwillige aktiwiteite. Die nagevorsde wysigings van die klikaanval inwoners van die volgende lande:
- Oostenryk
- Italië
- Frankryk
- Thailand
- Maleisië
- Duitsland
- Qatar
- Pole
- Griekeland
- Ierland
Nadat die nommerinligting oorgedra is
Nadat u die webwerfadres ontvang het,
Ten spyte van die feit dat die kliker nie die funksie het om met SMS te werk en toegang tot boodskappe te kry nie, omseil dit hierdie beperking. Dit gaan so. Die Trojaanse diens monitor kennisgewings van die toepassing, wat by verstek toegewys is om met SMS te werk. Wanneer 'n boodskap aankom, versteek die diens die ooreenstemmende stelselkennisgewing. Dit onttrek dan inligting oor die ontvangde SMS daaruit en stuur dit na die Trojaanse uitsaai-ontvanger. Gevolglik sien die gebruiker geen kennisgewings oor inkomende SMS nie en is nie bewus van wat aan die gebeur is nie. Hy leer eers van inteken op die diens wanneer geld uit sy rekening begin verdwyn, of wanneer hy na die boodskapkieslys gaan en SMS sien wat met die premiumdiens verband hou.
Nadat Doctor Web-spesialiste Google gekontak het, is die bespeurde kwaadwillige toepassings van Google Play verwyder. Alle bekende wysigings van hierdie kliker word suksesvol opgespoor en verwyder deur Dr.Web anti-virus produkte vir Android en hou dus nie 'n bedreiging vir ons gebruikers in nie.
Bron: will.com