Кампанія "Доктар Вэб" выявіла ў афіцыйным каталогу Android-прыкладанняў траянца-клікера, які здольны аўтаматычна падпісваць карыстальнікаў на платныя сэрвісы. Вірусныя аналітыкі выявілі некалькі мадыфікацый гэтай шкоднаснай праграмы, якія атрымалі імёны
Па-першае, яны ўбудавалі кликера ў бяскрыўдныя прыкладанні - фотакамеры і зборнікі малюнкаў, - якія выконвалі заяўленыя функцыі. У выніку ў карыстальнікаў і спецыялістаў па інфармацыйнай бяспецы не было відавочных прычын разглядаць іх як пагрозу.
Па-другое, усе шкоднасныя праграмы былі абаронены камерцыйным пакавальнікам Jiagu, які ўскладняе дэтэктаванне антывірусамі і абцяжарвае аналіз кода. Такім чынам у траянца было больш шанцаў пазбегнуць выяўленні ўбудаванай абаронай каталога Google Play.
Па-трэцяе, вірусастваральнікі спрабавалі замаскіраваць траянца пад вядомыя рэкламна-аналітычныя бібліятэкі. Пасля дадання ў праграмы-носьбіты ён убудоўваўся ў прысутнічалыя ў іх SDK ад Facebook і Adjust, хаваючыся сярод іх кампанентаў.
Акрамя таго, кликер атакаваў карыстальнікаў выбарча: ён не выконваў ніякіх шкоднасных дзеянняў, калі патэнцыйная ахвяра не з'яўлялася жыхаром адной з цікавых зламыснікаў краін.
Ніжэй прыведзены прыклады дадаткаў з укаранёным у іх траянцам:
Пасля ўсталёўкі і запуску кликер (тут і далей у якасці прыкладу будзе выступаць яго мадыфікацыя
Калі карыстач пагодзіцца падаць яму неабходныя дазволы, траянец зможа хаваць усе апавяшчэнні аб уваходных СМС і перахапляць тэксты паведамленняў.
Далей кликер перадае на кіравальны сервер тэхнічныя дадзеныя аб заражанай прыладзе і правярае серыйны нумар SIM-карты ахвяры. Калі тая адпавядае адной з мэтавых краін,
Калі ж SIM-карта ахвяры не адносіцца да цікавіць зламыснікаў краіне, траянец не робіць ніякіх дзеянняў і спыняе шкоднасную дзейнасць. Даследаваныя мадыфікацыі клікера атакуюць жыхароў наступных дзяржаў:
- Аўстрыя
- Італія
- Францыя
- Тайланд
- Малайзія
- Германія
- Катар
- Польшча
- Грэцыя
- Ірландыя
Пасля перадачы інфармацыі аб нумары
Атрымаўшы адрас сайта,
Нягледзячы на тое, што ў кликера няма функцыі працы з СМС і доступу да паведамленняў, ён абыходзіць гэтае абмежаванне. Гэта адбываецца наступным чынам. Траянскі сэрвіс сочыць за апавяшчэннямі ад прыкладання, якое па змаўчанні прызначанае на працу з СМС. Пры паступленні паведамлення сэрвіс хавае адпаведнае сістэмнае апавяшчэнне. Затым ён здабывае з яго інфармацыю аб атрыманым СМС і перадае яе траянскаму шырокавяшчальнаму прымачу. У выніку карыстач не бачыць ніякіх апавяшчэнняў аб уваходных СМС і не ведае аб тым, што адбываецца. Аб падпісцы на паслугу ён даведаецца толькі тады, калі з яго рахунку пачнуць знікаць грошы, альбо калі ён зойдзе ў меню паведамленняў і ўбачыць СМС, звязаныя з прэміум-сэрвісам.
Пасля звароту адмыслоўцаў «Доктар Вэб» у карпарацыю Google выяўленыя шкоднасныя прыкладанні былі выдаленыя з Google Play. Усе вядомыя мадыфікацыі гэтага клікера паспяхова дэтэктуюцца і выдаляюцца антывіруснымі прадуктамі Dr.Web для Android і таму не ўяўляюць пагрозы для нашых карыстачоў.