“Doctor Web” şirkəti “Android” proqramlarının rəsmi kataloqunda istifadəçiləri avtomatik olaraq pullu xidmətlərə abunə edə bilən “tıklayıcı” troyan aşkar edib. Virus analitikləri adlı bu zərərli proqramın bir neçə modifikasiyasını müəyyən ediblər
Əvvəla, onlar nəzərdə tutulmuş funksiyaları yerinə yetirən zərərsiz tətbiqlərə - kameralara və şəkil kolleksiyalarına tıklayıcılar quraşdırdılar. Nəticə etibarı ilə istifadəçilərin və informasiya təhlükəsizliyi mütəxəssislərinin onlara təhlükə kimi baxması üçün heç bir aydın səbəb yox idi.
İkincisi, bütün zərərli proqramlar kommersiya Jiagu paketləyicisi tərəfindən qorunurdu ki, bu da antiviruslar tərəfindən aşkarlanmağı çətinləşdirir və kod təhlilini çətinləşdirir. Beləliklə, Trojan Google Play kataloqunun daxili qorunması ilə aşkarlanmanın qarşısını almaq üçün daha yaxşı şans əldə etdi.
Üçüncüsü, virus müəllifləri Troyanı məşhur reklam və analitik kitabxanalar kimi gizlətməyə çalışdılar. Daşıyıcı proqramlara əlavə edildikdən sonra o, komponentləri arasında gizlənərək Facebook və Adjust-dan mövcud SDK-lara daxil edilmişdir.
Bundan əlavə, tıklayıcı istifadəçilərə seçmə hücum etdi: əgər potensial qurban təcavüzkarları maraqlandıran ölkələrdən birinin rezidenti deyilsə, heç bir zərərli hərəkət etmədi.
Aşağıda troyan quraşdırılmış proqramların nümunələri verilmişdir:
Klikləyicini quraşdırdıqdan və işə saldıqdan sonra (bundan sonra onun modifikasiyası nümunə kimi istifadə ediləcəkdir
İstifadəçi ona lazımi icazələri verməyə razı olarsa, Trojan gələn SMS haqqında bütün bildirişləri gizlədə və mesaj mətnlərini ələ keçirə biləcək.
Daha sonra klikləyici yoluxmuş cihaz haqqında texniki məlumatları idarəetmə serverinə ötürür və qurbanın SİM kartının seriya nömrəsini yoxlayır. Əgər hədəf ölkələrdən birinə uyğun gəlirsə,
Qurbanın SİM kartı təcavüzkarların maraqlandığı ölkəyə aid deyilsə, Trojan heç bir tədbir görmür və zərərli fəaliyyətini dayandırır. Clicker hücumunun tədqiq edilmiş modifikasiyaları aşağıdakı ölkələrin sakinlərinə hücum edir:
- Австрия
- İtaliya
- Fransa
- Thailand
- Малайзия
- Almaniya
- Катар
- Польша
- Yunanıstan
- İrlandiya
Nömrə məlumatını ötürdükdən sonra
Saytın ünvanını aldıqdan sonra,
Klikləyicinin SMS ilə işləmək və mesajlara daxil olmaq funksiyası olmamasına baxmayaraq, bu məhdudiyyətdən yan keçir. Bu belə gedir. Trojan xidməti, standart olaraq SMS ilə işləmək üçün təyin edilmiş tətbiqdən bildirişlərə nəzarət edir. Mesaj gəldikdə, xidmət müvafiq sistem bildirişini gizlədir. Daha sonra ondan alınan SMS haqqında məlumatları çıxarır və Trojan yayım qəbuledicisinə ötürür. Nəticədə istifadəçi daxil olan SMS-lər barədə heç bir bildiriş görmür və baş verənlərdən xəbərsiz olur. O, xidmətə qoşulmağı yalnız hesabından pul yoxa çıxmağa başlayanda və ya mesajlar menyusuna keçib premium xidmətlə bağlı SMS görəndə öyrənir.
Doctor Web mütəxəssisləri Google ilə əlaqə saxladıqdan sonra aşkar edilmiş zərərli proqramlar Google Play-dən silinib. Bu tıklayıcının bütün məlum modifikasiyaları Android üçün Dr.Web antivirus məhsulları tərəfindən uğurla aşkar edilir və silinir və buna görə də istifadəçilərimiz üçün təhlükə yaratmır.
Mənbə: www.habr.com