Doctor Web ha descobert un troià clicker al catàleg oficial d'aplicacions d'Android que és capaç de subscriure automàticament els usuaris a serveis de pagament. Els analistes de virus han identificat diverses modificacions d'aquest programa maliciós, anomenat , и . Per ocultar el seu veritable propòsit i també reduir la probabilitat de detecció del troià, els atacants van utilitzar diverses tècniques.
Primer, van crear clics en aplicacions innòcues (càmeres i col·leccions d'imatges) que realitzaven les funcions previstes. Com a resultat, no hi havia cap motiu clar perquè els usuaris i els professionals de la seguretat de la informació els consideressin una amenaça.
En segon lloc, tot el programari maliciós estava protegit pel paquet comercial Jiagu, cosa que complica la detecció dels antivirus i complica l'anàlisi del codi. D'aquesta manera, el troià tenia més possibilitats d'evitar la detecció mitjançant la protecció integrada del directori de Google Play.
En tercer lloc, els autors de virus van intentar dissimular el troià com a conegudes biblioteques publicitàries i analítiques. Un cop afegit als programes de transport, es va incorporar als SDK existents de Facebook i Adjust, amagant-se entre els seus components.
A més, el clicker atacava els usuaris de manera selectiva: no realitzava cap acció maliciosa si la víctima potencial no era resident d'un dels països d'interès per als atacants.
A continuació es mostren exemples d'aplicacions amb un troià incrustat:
Després d'instal·lar i llançar el clicker (d'ara endavant, s'utilitzarà com a exemple la seva modificació ) intenta accedir a les notificacions del sistema operatiu mostrant la següent sol·licitud:
Si l'usuari accepta concedir-li els permisos necessaris, el troià podrà amagar totes les notificacions sobre els SMS entrants i interceptar els missatges de text.
A continuació, el clic transmet dades tècniques sobre el dispositiu infectat al servidor de control i comprova el número de sèrie de la targeta SIM de la víctima. Si coincideix amb un dels països objectiu, envia al servidor informació sobre el número de telèfon associat. Al mateix temps, el clic mostra als usuaris de determinats països una finestra de pesca on els demanen que introdueixin un número o iniciïn sessió al seu compte de Google:
Si la targeta SIM de la víctima no pertany al país d'interès per als atacants, el troià no pren cap acció i atura la seva activitat maliciosa. Les modificacions investigades del clic ataquen als residents dels països següents:
- Австрия
- Itàlia
- França
- Tailàndia
- Малайзия
- Alemanya
- Катар
- Польша
- Grècia
- Irlanda
Després de transmetre la informació del número espera ordres del servidor de gestió. Envia tasques al troià, que contenen les adreces dels llocs web per descarregar i codificar en format JavaScript. Aquest codi s'utilitza per controlar el clic a través de la JavascriptInterface, mostrar missatges emergents al dispositiu, fer clics a les pàgines web i altres accions.
Havent rebut l'adreça del lloc, l'obre en una WebView invisible, on també es carrega el JavaScript acceptat anteriorment amb paràmetres per als clics. Després d'obrir un lloc web amb un servei premium, el troià fa clic automàticament als enllaços i botons necessaris. A continuació, rep codis de verificació per SMS i confirma de manera independent la subscripció.
Malgrat que el clic no té la funció de treballar amb SMS i accedir als missatges, passa per alt aquesta limitació. Va així. El servei de troià supervisa les notificacions de l'aplicació, que per defecte està assignada per treballar amb SMS. Quan arriba un missatge, el servei amaga la notificació del sistema corresponent. A continuació, n'extreu informació sobre l'SMS rebut i la transmet al receptor de difusió de Troia. Com a resultat, l'usuari no veu cap notificació sobre els SMS entrants i no és conscient del que està passant. Aprèn a subscriure's al servei només quan els diners comencen a desaparèixer del seu compte, o quan va al menú de missatges i veu els SMS relacionats amb el servei premium.
Després que els especialistes de Doctor Web es posessin en contacte amb Google, les aplicacions malicioses detectades es van eliminar de Google Play. Totes les modificacions conegudes d'aquest clic són detectades i eliminades correctament pels productes antivirus Dr.Web per a Android i, per tant, no suposen una amenaça per als nostres usuaris.
Font: www.habr.com