Doctor Web je u službenom katalogu Android aplikacija otkrio kliker Trojan koji može automatski pretplatiti korisnike na plaćene usluge. Virusni analitičari su identifikovali nekoliko modifikacija ovog zlonamernog programa, tzv , и . Kako bi sakrili svoju pravu svrhu i smanjili vjerovatnoću otkrivanja Trojanca, napadači su koristili nekoliko tehnika.
Prvo, ugradili su klikere u bezopasne aplikacije – kamere i kolekcije slika – koje su obavljale svoje predviđene funkcije. Kao rezultat toga, nije bilo jasnog razloga da ih korisnici i stručnjaci za sigurnost informacija vide kao prijetnju.
Drugo, sav zlonamjerni softver je zaštićen komercijalnim paketom Jiagu, što komplicira detekciju antivirusima i komplikuje analizu koda. Na ovaj način, Trojanac je imao veće šanse da izbjegne otkrivanje ugrađenom zaštitom Google Play direktorija.
Treće, pisci virusa pokušali su prikriti Trojanca u poznate reklamne i analitičke biblioteke. Jednom kada je dodat u programe operatera, ugrađen je u postojeće SDK-ove od Facebook-a i Adjust-a, skrivajući se među njihovim komponentama.
Osim toga, kliker je selektivno napadao korisnike: nije izvršio nikakve zlonamjerne radnje ako potencijalna žrtva nije stanovnik jedne od zemalja od interesa za napadače.
Ispod su primjeri aplikacija sa ugrađenim trojanskim programom:
Nakon instaliranja i pokretanja klikera (u daljem tekstu, njegova modifikacija će se koristiti kao primjer ) pokušava pristupiti obavještenjima operativnog sistema pokazujući sljedeći zahtjev:
Ako korisnik pristane da mu da potrebne dozvole, trojanac će moći sakriti sva obavještenja o dolaznim SMS-ovima i presretnuti tekstove poruka.
Zatim kliker prenosi tehničke podatke o zaraženom uređaju na kontrolni server i provjerava serijski broj SIM kartice žrtve. Ako odgovara jednoj od ciljnih zemalja, šalje serveru informacije o telefonskom broju koji je sa njim povezan. Istovremeno, kliker korisnicima iz određenih zemalja prikazuje phishing prozor u kojem od njih traže da unesu broj ili se prijave na svoj Google račun:
Ako SIM kartica žrtve ne pripada zemlji za koju su napadači zainteresovani, trojanac ne preduzima ništa i zaustavlja svoju zlonamernu aktivnost. Istražene su modifikacije kliker napada na stanovnike sljedećih zemalja:
- Austrija
- Italija
- Francuska
- Таиланд
- Malezija
- Njemačka
- Катар
- Poljska
- Grčka
- Irska
Nakon prijenosa informacija o broju čeka komande sa servera za upravljanje. Trojancu šalje zadatke koji sadrže adrese web lokacija za preuzimanje i kodiranje u JavaScript formatu. Ovaj kod se koristi za kontrolu klikera kroz JavascriptInterface, prikazivanje iskačućih poruka na uređaju, izvršavanje klikova na web stranicama i druge radnje.
Nakon što je dobio adresu stranice, otvara ga u nevidljivom WebViewu, gdje se također učitava prethodno prihvaćeni JavaScript sa parametrima za klikove. Nakon otvaranja web stranice s premium uslugom, trojanac automatski klikne na potrebne veze i dugmad. Zatim prima verifikacijske kodove iz SMS-a i samostalno potvrđuje pretplatu.
Unatoč činjenici da kliker nema funkciju rada sa SMS-om i pristupa porukama, on zaobilazi ovo ograničenje. To ide ovako. Trojanski servis prati obavještenja iz aplikacije, kojoj je po defaultu dodijeljen rad sa SMS-om. Kada stigne poruka, servis skriva odgovarajuće sistemsko obaveštenje. Zatim izvlači informacije o primljenom SMS-u iz njega i prenosi ih trojanskom prijemniku. Kao rezultat toga, korisnik ne vidi nikakva obavještenja o dolaznim SMS-ovima i nije svjestan šta se dešava. Za pretplatu na uslugu saznaje tek kada novac počne da nestaje sa njegovog računa ili kada uđe u meni poruka i vidi SMS koji se odnosi na premium uslugu.
Nakon što su stručnjaci Doktor Weba kontaktirali Google, otkrivene zlonamjerne aplikacije su uklonjene sa Google Playa. Dr.Web antivirusni proizvodi za Android uspješno otkrivaju i uklanjaju sve poznate modifikacije ovog klikera i stoga ne predstavljaju prijetnju našim korisnicima.
izvor: www.habr.com