Doctor Web je u službenom katalogu Android aplikacija otkrio kliker Trojan koji može automatski pretplatiti korisnike na plaćene usluge. Virusni analitičari su identifikovali nekoliko modifikacija ovog zlonamernog programa, tzv
Prvo, ugradili su klikere u bezopasne aplikacije – kamere i kolekcije slika – koje su obavljale svoje predviđene funkcije. Kao rezultat toga, nije bilo jasnog razloga da ih korisnici i stručnjaci za sigurnost informacija vide kao prijetnju.
Drugo, sav zlonamjerni softver je zaštićen komercijalnim paketom Jiagu, što komplicira detekciju antivirusima i komplikuje analizu koda. Na ovaj način, Trojanac je imao veće šanse da izbjegne otkrivanje ugrađenom zaštitom Google Play direktorija.
Treće, pisci virusa pokušali su prikriti Trojanca u poznate reklamne i analitičke biblioteke. Jednom kada je dodat u programe operatera, ugrađen je u postojeće SDK-ove od Facebook-a i Adjust-a, skrivajući se među njihovim komponentama.
Osim toga, kliker je selektivno napadao korisnike: nije izvršio nikakve zlonamjerne radnje ako potencijalna žrtva nije stanovnik jedne od zemalja od interesa za napadače.
Ispod su primjeri aplikacija sa ugrađenim trojanskim programom:
Nakon instaliranja i pokretanja klikera (u daljem tekstu, njegova modifikacija će se koristiti kao primjer
Ako korisnik pristane da mu da potrebne dozvole, trojanac će moći sakriti sva obavještenja o dolaznim SMS-ovima i presretnuti tekstove poruka.
Zatim kliker prenosi tehničke podatke o zaraženom uređaju na kontrolni server i provjerava serijski broj SIM kartice žrtve. Ako odgovara jednoj od ciljnih zemalja,
Ako SIM kartica žrtve ne pripada zemlji za koju su napadači zainteresovani, trojanac ne preduzima ništa i zaustavlja svoju zlonamernu aktivnost. Istražene su modifikacije kliker napada na stanovnike sljedećih zemalja:
- Austrija
- Italija
- Francuska
- Таиланд
- Malezija
- Njemačka
- Катар
- Poljska
- Grčka
- Irska
Nakon prijenosa informacija o broju
Nakon što je dobio adresu stranice,
Unatoč činjenici da kliker nema funkciju rada sa SMS-om i pristupa porukama, on zaobilazi ovo ograničenje. To ide ovako. Trojanski servis prati obavještenja iz aplikacije, kojoj je po defaultu dodijeljen rad sa SMS-om. Kada stigne poruka, servis skriva odgovarajuće sistemsko obaveštenje. Zatim izvlači informacije o primljenom SMS-u iz njega i prenosi ih trojanskom prijemniku. Kao rezultat toga, korisnik ne vidi nikakva obavještenja o dolaznim SMS-ovima i nije svjestan šta se dešava. Za pretplatu na uslugu saznaje tek kada novac počne da nestaje sa njegovog računa ili kada uđe u meni poruka i vidi SMS koji se odnosi na premium uslugu.
Nakon što su stručnjaci Doktor Weba kontaktirali Google, otkrivene zlonamjerne aplikacije su uklonjene sa Google Playa. Dr.Web antivirusni proizvodi za Android uspješno otkrivaju i uklanjaju sve poznate modifikacije ovog klikera i stoga ne predstavljaju prijetnju našim korisnicima.
izvor: www.habr.com