Кампанія "Доктар Вэб" выявіла ў афіцыйным каталогу Android-прыкладанняў траянца-клікера, які здольны аўтаматычна падпісваць карыстальнікаў на платныя сэрвісы. Вірусныя аналітыкі выявілі некалькі мадыфікацый гэтай шкоднаснай праграмы, якія атрымалі імёны , и . Каб схаваць іх сапраўднае прызначэнне, а таксама знізіць верагоднасць выяўлення траянца, зламыснікі выкарыстоўвалі некалькі прыёмаў.
Па-першае, яны ўбудавалі кликера ў бяскрыўдныя прыкладанні - фотакамеры і зборнікі малюнкаў, - якія выконвалі заяўленыя функцыі. У выніку ў карыстальнікаў і спецыялістаў па інфармацыйнай бяспецы не было відавочных прычын разглядаць іх як пагрозу.
Па-другое, усе шкоднасныя праграмы былі абаронены камерцыйным пакавальнікам Jiagu, які ўскладняе дэтэктаванне антывірусамі і абцяжарвае аналіз кода. Такім чынам у траянца было больш шанцаў пазбегнуць выяўленні ўбудаванай абаронай каталога Google Play.
Па-трэцяе, вірусастваральнікі спрабавалі замаскіраваць траянца пад вядомыя рэкламна-аналітычныя бібліятэкі. Пасля дадання ў праграмы-носьбіты ён убудоўваўся ў прысутнічалыя ў іх SDK ад Facebook і Adjust, хаваючыся сярод іх кампанентаў.
Акрамя таго, кликер атакаваў карыстальнікаў выбарча: ён не выконваў ніякіх шкоднасных дзеянняў, калі патэнцыйная ахвяра не з'яўлялася жыхаром адной з цікавых зламыснікаў краін.
Ніжэй прыведзены прыклады дадаткаў з укаранёным у іх траянцам:
Пасля ўсталёўкі і запуску кликер (тут і далей у якасці прыкладу будзе выступаць яго мадыфікацыя ) спрабуе атрымаць доступ да апавяшчэнняў аперацыйнай сістэмы, паказваючы наступны запыт:
Калі карыстач пагодзіцца падаць яму неабходныя дазволы, траянец зможа хаваць усе апавяшчэнні аб уваходных СМС і перахапляць тэксты паведамленняў.
Далей кликер перадае на кіравальны сервер тэхнічныя дадзеныя аб заражанай прыладзе і правярае серыйны нумар SIM-карты ахвяры. Калі тая адпавядае адной з мэтавых краін, адпраўляе на сервер інфармацыю аб прывязаным да яе нумары тэлефона. Пры гэтым карыстальнікам з пэўных дзяржаў клікер паказвае фішынгавае акно, дзе прапануе самастойна ўвесці нумар або аўтарызавацца ва ўліковым запісе Google:
Калі ж SIM-карта ахвяры не адносіцца да цікавіць зламыснікаў краіне, траянец не робіць ніякіх дзеянняў і спыняе шкоднасную дзейнасць. Даследаваныя мадыфікацыі клікера атакуюць жыхароў наступных дзяржаў:
- Аўстрыя
- Італія
- Францыя
- Тайланд
- Малайзія
- Германія
- Катар
- Польшча
- Грэцыя
- Ірландыя
Пасля перадачы інфармацыі аб нумары чакае каманды ад кіруючага сервера. Той адпраўляе траянцу заданні, у якіх змяшчаюцца адрасы вэб-сайтаў для загрузкі і код у фармаце JavaScript. Гэты код выкарыстоўваецца для кіравання клікерам праз інтэрфейс JavascriptInterface, паказу ўсплываючых паведамленняў на прыладзе, выкананні націскаў на вэб-старонках і іншых дзеянняў.
Атрымаўшы адрас сайта, адчыняе яго ў нябачным WebView, куды таксама загружаецца прыняты раней JavaScript з параметрамі для клікаў. Пасля адкрыцця сайта з сэрвісам прэміум-паслуг траянец аўтаматычна націскае на неабходныя спасылкі і кнопкі. Далей ён атрымлівае праверачныя коды з СМС і самастойна пацвярджае падпіску.
Нягледзячы на тое, што ў кликера няма функцыі працы з СМС і доступу да паведамленняў, ён абыходзіць гэтае абмежаванне. Гэта адбываецца наступным чынам. Траянскі сэрвіс сочыць за апавяшчэннямі ад прыкладання, якое па змаўчанні прызначанае на працу з СМС. Пры паступленні паведамлення сэрвіс хавае адпаведнае сістэмнае апавяшчэнне. Затым ён здабывае з яго інфармацыю аб атрыманым СМС і перадае яе траянскаму шырокавяшчальнаму прымачу. У выніку карыстач не бачыць ніякіх апавяшчэнняў аб уваходных СМС і не ведае аб тым, што адбываецца. Аб падпісцы на паслугу ён даведаецца толькі тады, калі з яго рахунку пачнуць знікаць грошы, альбо калі ён зойдзе ў меню паведамленняў і ўбачыць СМС, звязаныя з прэміум-сэрвісам.
Пасля звароту адмыслоўцаў «Доктар Вэб» у карпарацыю Google выяўленыя шкоднасныя прыкладанні былі выдаленыя з Google Play. Усе вядомыя мадыфікацыі гэтага клікера паспяхова дэтэктуюцца і выдаляюцца антывіруснымі прадуктамі Dr.Web для Android і таму не ўяўляюць пагрозы для нашых карыстачоў.
Крыніца: habr.com