يقوم Android Clicker بتسجيل المستخدمين للحصول على الخدمات المدفوعة

اكتشف Doctor Web حصان طروادة الفرس في الكتالوج الرسمي لتطبيقات Android القادر على اشتراك المستخدمين تلقائيًا في الخدمات المدفوعة. وقد حدد محللو الفيروسات عدة تعديلات على هذا البرنامج الخبيث، المسمى Android.Click.322.origin, Android.Click.323.origin и Android.Click.324.origin. لإخفاء غرضهم الحقيقي وكذلك تقليل احتمالية اكتشاف حصان طروادة، استخدم المهاجمون عدة تقنيات.

أولالقد قاموا ببناء أدوات النقر في تطبيقات غير ضارة - الكاميرات ومجموعات الصور - التي تؤدي وظائفها المقصودة. ونتيجة لذلك، لم يكن هناك سبب واضح للمستخدمين ومتخصصي أمن المعلومات لاعتبارهم تهديدًا.

ثانيا، تمت حماية جميع البرامج الضارة بواسطة برنامج الحزمة التجارية Jiagu، مما يزيد من تعقيد الكشف بواسطة برامج مكافحة الفيروسات ويعقد تحليل التعليمات البرمجية. وبهذه الطريقة، أصبح لدى حصان طروادة فرصة أفضل لتجنب اكتشافه من خلال الحماية المضمنة في دليل Google Play.

ثالثا، حاول مؤلفو الفيروسات إخفاء حصان طروادة كمكتبات إعلانية وتحليلية معروفة. بمجرد إضافتها إلى برامج الناقل، تم دمجها في حزم SDK الحالية من Facebook وAdjust، والاختباء بين مكوناتها.

بالإضافة إلى ذلك، قام برنامج النقر بمهاجمة المستخدمين بشكل انتقائي: ولم يقم بأي أعمال ضارة إذا لم تكن الضحية المحتملة مقيمة في إحدى البلدان التي تهم المهاجمين.

فيما يلي أمثلة للتطبيقات التي تحتوي على حصان طروادة المضمن فيها:

بعد تثبيت وتشغيل جهاز النقر (فيما يلي، سيتم استخدام تعديله كمثال Android.Click.322.origin) يحاول الوصول إلى إشعارات نظام التشغيل عن طريق إظهار الطلب التالي:

إذا وافق المستخدم على منحه الأذونات اللازمة، فسيتمكن حصان طروادة من إخفاء جميع الإشعارات حول الرسائل القصيرة الواردة واعتراض نصوص الرسائل.

بعد ذلك، يقوم جهاز النقر بإرسال البيانات الفنية حول الجهاز المصاب إلى خادم التحكم والتحقق من الرقم التسلسلي لبطاقة SIM الخاصة بالضحية. إذا تطابقت مع أحد البلدان المستهدفة، Android.Click.322.origin يرسل إلى الخادم معلومات حول رقم الهاتف المرتبط به. في الوقت نفسه، يعرض جهاز النقر للمستخدمين من بلدان معينة نافذة تصيد حيث يطلبون منهم إدخال رقم أو تسجيل الدخول إلى حساب Google الخاص بهم:

إذا كانت بطاقة SIM الخاصة بالضحية لا تنتمي إلى البلد الذي يهم المهاجمين، فلن يتخذ حصان طروادة أي إجراء ويوقف نشاطه الضار. التعديلات التي تم البحث عنها لهجوم الفرس على سكان البلدان التالية:

• النمسا
• إيطاليا
• فرنسا
• تايلاند
• ماليزيا
• ألمانيا
• قطر
• بولندا
• يونان
• أيرلندا

بعد إرسال معلومات الرقم Android.Click.322.origin ينتظر الأوامر من خادم الإدارة. فهو يرسل المهام إلى حصان طروادة، والتي تحتوي على عناوين مواقع الويب لتنزيلها ورمزها بتنسيق JavaScript. يتم استخدام هذا الرمز للتحكم في أداة النقر من خلال واجهة Javascript، وعرض الرسائل المنبثقة على الجهاز، وتنفيذ النقرات على صفحات الويب، وغيرها من الإجراءات.

بعد أن حصلت على عنوان الموقع، Android.Click.322.origin يفتحه في WebView غير مرئي، حيث يتم أيضًا تحميل JavaScript المقبول مسبقًا مع معلمات النقرات. بعد فتح موقع ويب مزود بخدمة متميزة، يقوم حصان طروادة تلقائيًا بالنقر فوق الروابط والأزرار الضرورية. بعد ذلك، يتلقى رموز التحقق من الرسائل القصيرة ويؤكد الاشتراك بشكل مستقل.

على الرغم من أن الفرس ليس لديه وظيفة العمل مع الرسائل القصيرة والوصول إلى الرسائل، فإنه يتجاوز هذا القيد. تسير الأمور على هذا النحو. تقوم خدمة طروادة بمراقبة الإخطارات الواردة من التطبيق، والتي تم تعيينها افتراضيًا للعمل مع الرسائل النصية القصيرة. عند وصول رسالة، تقوم الخدمة بإخفاء إشعار النظام المقابل. ثم يقوم بعد ذلك باستخراج معلومات حول الرسالة النصية القصيرة المستلمة منه وإرسالها إلى جهاز استقبال بث طروادة. ونتيجة لذلك، لا يرى المستخدم أي إشعارات حول الرسائل القصيرة الواردة ولا يكون على علم بما يحدث. ولا يعرف عن الاشتراك في الخدمة إلا عندما تبدأ الأموال في الاختفاء من حسابه، أو عندما يذهب إلى قائمة الرسائل ويرى الرسائل القصيرة المتعلقة بالخدمة المميزة.

وبعد أن اتصل متخصصو Doctor Web بشركة Google، تمت إزالة التطبيقات الضارة المكتشفة من Google Play. تم اكتشاف جميع التعديلات المعروفة لهذا الفرس وإزالتها بنجاح بواسطة منتجات مكافحة الفيروسات Dr.Web لنظام Android، وبالتالي لا تشكل تهديدًا لمستخدمينا.

تعرف على المزيد حول Android.Click.322.origin

المصدر: www.habr.com