Doctor Web ha descobert un troià clicker al catàleg oficial d'aplicacions d'Android que és capaç de subscriure automàticament els usuaris a serveis de pagament. Els analistes de virus han identificat diverses modificacions d'aquest programa maliciós, anomenat
Primer, van crear clics en aplicacions innòcues (càmeres i col·leccions d'imatges) que realitzaven les funcions previstes. Com a resultat, no hi havia cap motiu clar perquè els usuaris i els professionals de la seguretat de la informació els consideressin una amenaça.
En segon lloc, tot el programari maliciós estava protegit pel paquet comercial Jiagu, cosa que complica la detecció dels antivirus i complica l'anàlisi del codi. D'aquesta manera, el troià tenia més possibilitats d'evitar la detecció mitjançant la protecció integrada del directori de Google Play.
En tercer lloc, els autors de virus van intentar dissimular el troià com a conegudes biblioteques publicitàries i analítiques. Un cop afegit als programes de transport, es va incorporar als SDK existents de Facebook i Adjust, amagant-se entre els seus components.
A més, el clicker atacava els usuaris de manera selectiva: no realitzava cap acció maliciosa si la víctima potencial no era resident d'un dels països d'interès per als atacants.
A continuació es mostren exemples d'aplicacions amb un troià incrustat:
Després d'instal·lar i llançar el clicker (d'ara endavant, s'utilitzarà com a exemple la seva modificació
Si l'usuari accepta concedir-li els permisos necessaris, el troià podrà amagar totes les notificacions sobre els SMS entrants i interceptar els missatges de text.
A continuació, el clic transmet dades tècniques sobre el dispositiu infectat al servidor de control i comprova el número de sèrie de la targeta SIM de la víctima. Si coincideix amb un dels països objectiu,
Si la targeta SIM de la víctima no pertany al país d'interès per als atacants, el troià no pren cap acció i atura la seva activitat maliciosa. Les modificacions investigades del clic ataquen als residents dels països següents:
- Австрия
- Itàlia
- França
- Tailàndia
- Малайзия
- Alemanya
- Катар
- Польша
- Grècia
- Irlanda
Després de transmetre la informació del número
Havent rebut l'adreça del lloc,
Malgrat que el clic no té la funció de treballar amb SMS i accedir als missatges, passa per alt aquesta limitació. Va així. El servei de troià supervisa les notificacions de l'aplicació, que per defecte està assignada per treballar amb SMS. Quan arriba un missatge, el servei amaga la notificació del sistema corresponent. A continuació, n'extreu informació sobre l'SMS rebut i la transmet al receptor de difusió de Troia. Com a resultat, l'usuari no veu cap notificació sobre els SMS entrants i no és conscient del que està passant. Aprèn a subscriure's al servei només quan els diners comencen a desaparèixer del seu compte, o quan va al menú de missatges i veu els SMS relacionats amb el servei premium.
Després que els especialistes de Doctor Web es posessin en contacte amb Google, les aplicacions malicioses detectades es van eliminar de Google Play. Totes les modificacions conegudes d'aquest clic són detectades i eliminades correctament pels productes antivirus Dr.Web per a Android i, per tant, no suposen una amenaça per als nostres usuaris.
Font: www.habr.com