اكتشف Doctor Web حصان طروادة الفرس في الكتالوج الرسمي لتطبيقات Android القادر على اشتراك المستخدمين تلقائيًا في الخدمات المدفوعة. وقد حدد محللو الفيروسات عدة تعديلات على هذا البرنامج الخبيث، المسمى
أولالقد قاموا ببناء أدوات النقر في تطبيقات غير ضارة - الكاميرات ومجموعات الصور - التي تؤدي وظائفها المقصودة. ونتيجة لذلك، لم يكن هناك سبب واضح للمستخدمين ومتخصصي أمن المعلومات لاعتبارهم تهديدًا.
ثانيا، تمت حماية جميع البرامج الضارة بواسطة برنامج الحزمة التجارية Jiagu، مما يزيد من تعقيد الكشف بواسطة برامج مكافحة الفيروسات ويعقد تحليل التعليمات البرمجية. وبهذه الطريقة، أصبح لدى حصان طروادة فرصة أفضل لتجنب اكتشافه من خلال الحماية المضمنة في دليل Google Play.
ثالثا، حاول مؤلفو الفيروسات إخفاء حصان طروادة كمكتبات إعلانية وتحليلية معروفة. بمجرد إضافتها إلى برامج الناقل، تم دمجها في حزم SDK الحالية من Facebook وAdjust، والاختباء بين مكوناتها.
بالإضافة إلى ذلك، قام برنامج النقر بمهاجمة المستخدمين بشكل انتقائي: ولم يقم بأي أعمال ضارة إذا لم تكن الضحية المحتملة مقيمة في إحدى البلدان التي تهم المهاجمين.
فيما يلي أمثلة للتطبيقات التي تحتوي على حصان طروادة المضمن فيها:
بعد تثبيت وتشغيل جهاز النقر (فيما يلي، سيتم استخدام تعديله كمثال
إذا وافق المستخدم على منحه الأذونات اللازمة، فسيتمكن حصان طروادة من إخفاء جميع الإشعارات حول الرسائل القصيرة الواردة واعتراض نصوص الرسائل.
بعد ذلك، يقوم جهاز النقر بإرسال البيانات الفنية حول الجهاز المصاب إلى خادم التحكم والتحقق من الرقم التسلسلي لبطاقة SIM الخاصة بالضحية. إذا تطابقت مع أحد البلدان المستهدفة،
إذا كانت بطاقة SIM الخاصة بالضحية لا تنتمي إلى البلد الذي يهم المهاجمين، فلن يتخذ حصان طروادة أي إجراء ويوقف نشاطه الضار. التعديلات التي تم البحث عنها لهجوم الفرس على سكان البلدان التالية:
- النمسا
- إيطاليا
- فرنسا
- تايلاند
- ماليزيا
- ألمانيا
- قطر
- بولندا
- يونان
- أيرلندا
بعد إرسال معلومات الرقم
بعد أن حصلت على عنوان الموقع،
على الرغم من أن الفرس ليس لديه وظيفة العمل مع الرسائل القصيرة والوصول إلى الرسائل، فإنه يتجاوز هذا القيد. تسير الأمور على هذا النحو. تقوم خدمة طروادة بمراقبة الإخطارات الواردة من التطبيق، والتي تم تعيينها افتراضيًا للعمل مع الرسائل النصية القصيرة. عند وصول رسالة، تقوم الخدمة بإخفاء إشعار النظام المقابل. ثم يقوم بعد ذلك باستخراج معلومات حول الرسالة النصية القصيرة المستلمة منه وإرسالها إلى جهاز استقبال بث طروادة. ونتيجة لذلك، لا يرى المستخدم أي إشعارات حول الرسائل القصيرة الواردة ولا يكون على علم بما يحدث. ولا يعرف عن الاشتراك في الخدمة إلا عندما تبدأ الأموال في الاختفاء من حسابه، أو عندما يذهب إلى قائمة الرسائل ويرى الرسائل القصيرة المتعلقة بالخدمة المميزة.
وبعد أن اتصل متخصصو Doctor Web بشركة Google، تمت إزالة التطبيقات الضارة المكتشفة من Google Play. تم اكتشاف جميع التعديلات المعروفة لهذا الفرس وإزالتها بنجاح بواسطة منتجات مكافحة الفيروسات Dr.Web لنظام Android، وبالتالي لا تشكل تهديدًا لمستخدمينا.
المصدر: www.habr.com