“Doctor Web” şirkəti “Android” proqramlarının rəsmi kataloqunda istifadəçiləri avtomatik olaraq pullu xidmətlərə abunə edə bilən “tıklayıcı” troyan aşkar edib. Virus analitikləri adlı bu zərərli proqramın bir neçə modifikasiyasını müəyyən ediblər , и . Həqiqi məqsədlərini gizlətmək və həmçinin Troyanın aşkarlanma ehtimalını azaltmaq üçün təcavüzkarlar bir neçə üsuldan istifadə etdilər.
Əvvəla, onlar nəzərdə tutulmuş funksiyaları yerinə yetirən zərərsiz tətbiqlərə - kameralara və şəkil kolleksiyalarına tıklayıcılar quraşdırdılar. Nəticə etibarı ilə istifadəçilərin və informasiya təhlükəsizliyi mütəxəssislərinin onlara təhlükə kimi baxması üçün heç bir aydın səbəb yox idi.
İkincisi, bütün zərərli proqramlar kommersiya Jiagu paketləyicisi tərəfindən qorunurdu ki, bu da antiviruslar tərəfindən aşkarlanmağı çətinləşdirir və kod təhlilini çətinləşdirir. Beləliklə, Trojan Google Play kataloqunun daxili qorunması ilə aşkarlanmanın qarşısını almaq üçün daha yaxşı şans əldə etdi.
Üçüncüsü, virus müəllifləri Troyanı məşhur reklam və analitik kitabxanalar kimi gizlətməyə çalışdılar. Daşıyıcı proqramlara əlavə edildikdən sonra o, komponentləri arasında gizlənərək Facebook və Adjust-dan mövcud SDK-lara daxil edilmişdir.
Bundan əlavə, tıklayıcı istifadəçilərə seçmə hücum etdi: əgər potensial qurban təcavüzkarları maraqlandıran ölkələrdən birinin rezidenti deyilsə, heç bir zərərli hərəkət etmədi.
Aşağıda troyan quraşdırılmış proqramların nümunələri verilmişdir:
Klikləyicini quraşdırdıqdan və işə saldıqdan sonra (bundan sonra onun modifikasiyası nümunə kimi istifadə ediləcəkdir ) aşağıdakı sorğunu göstərməklə əməliyyat sistemi bildirişlərinə daxil olmağa çalışır:
İstifadəçi ona lazımi icazələri verməyə razı olarsa, Trojan gələn SMS haqqında bütün bildirişləri gizlədə və mesaj mətnlərini ələ keçirə biləcək.
Daha sonra klikləyici yoluxmuş cihaz haqqında texniki məlumatları idarəetmə serverinə ötürür və qurbanın SİM kartının seriya nömrəsini yoxlayır. Əgər hədəf ölkələrdən birinə uyğun gəlirsə, onunla əlaqəli telefon nömrəsi haqqında məlumatı serverə göndərir. Eyni zamanda, klikləyici müəyyən ölkələrdən olan istifadəçilərə nömrə daxil etmələrini və ya Google hesablarına daxil olmalarını istədikləri fişinq pəncərəsini göstərir:
Qurbanın SİM kartı təcavüzkarların maraqlandığı ölkəyə aid deyilsə, Trojan heç bir tədbir görmür və zərərli fəaliyyətini dayandırır. Clicker hücumunun tədqiq edilmiş modifikasiyaları aşağıdakı ölkələrin sakinlərinə hücum edir:
- Австрия
- İtaliya
- Fransa
- Thailand
- Малайзия
- Almaniya
- Катар
- Польша
- Yunanıstan
- İrlandiya
Nömrə məlumatını ötürdükdən sonra idarəetmə serverindən əmrləri gözləyir. JavaScript formatında yükləmək və kodlaşdırmaq üçün veb-saytların ünvanlarını ehtiva edən Troyana tapşırıqlar göndərir. Bu kod JavascriptInterface vasitəsilə klikləyicini idarə etmək, cihazda pop-up mesajlarını göstərmək, veb səhifələrdə klikləri yerinə yetirmək və digər hərəkətləri etmək üçün istifadə olunur.
Saytın ünvanını aldıqdan sonra, onu görünməz WebView-də açır, burada klik parametrləri ilə əvvəllər qəbul edilmiş JavaScript də yüklənir. Mükəmməl xidmətlə veb saytı açdıqdan sonra troyan avtomatik olaraq lazımi linklərə və düymələrə klikləyir. Sonra o, SMS-dən yoxlama kodlarını alır və abunəni müstəqil şəkildə təsdiqləyir.
Klikləyicinin SMS ilə işləmək və mesajlara daxil olmaq funksiyası olmamasına baxmayaraq, bu məhdudiyyətdən yan keçir. Bu belə gedir. Trojan xidməti, standart olaraq SMS ilə işləmək üçün təyin edilmiş tətbiqdən bildirişlərə nəzarət edir. Mesaj gəldikdə, xidmət müvafiq sistem bildirişini gizlədir. Daha sonra ondan alınan SMS haqqında məlumatları çıxarır və Trojan yayım qəbuledicisinə ötürür. Nəticədə istifadəçi daxil olan SMS-lər barədə heç bir bildiriş görmür və baş verənlərdən xəbərsiz olur. O, xidmətə qoşulmağı yalnız hesabından pul yoxa çıxmağa başlayanda və ya mesajlar menyusuna keçib premium xidmətlə bağlı SMS görəndə öyrənir.
Doctor Web mütəxəssisləri Google ilə əlaqə saxladıqdan sonra aşkar edilmiş zərərli proqramlar Google Play-dən silinib. Bu tıklayıcının bütün məlum modifikasiyaları Android üçün Dr.Web antivirus məhsulları tərəfindən uğurla aşkar edilir və silinir və buna görə də istifadəçilərimiz üçün təhlükə yaratmır.
Mənbə: www.habr.com