Doctor Web hà scupertu un troianu di cliccà in u catalogu ufficiale di l'applicazioni Android chì hè capace di abbonà automaticamente l'utilizatori à i servizii pagati. L'analista di virus anu identificatu parechje mudificazioni di stu prugramma maliziusu, chjamatu
Prima, anu custruitu clickers in appiicazioni innocue-camere è cullezzione d'imaghjini-chì anu realizatu e so funzioni destinate. In u risultatu, ùn ci era micca un mutivu chjaru per l'utilizatori è i prufessiunali di sicurezza di l'infurmazioni per vedeli cum'è una minaccia.
Siconda, tuttu u malware hè stata prutetta da u pacchettu cummerciale Jiagu, chì complica a deteczione da antivirus è complica l'analisi di codice. In questu modu, u Troia hà avutu una megliu chance di evità a rilevazione da a prutezzione integrata di u repertoriu Google Play.
Tercero, i scrittori di virus anu pruvatu à disguise u Trojan cum'è biblioteche di publicità è analitiche famose. Dopu à esse aghjuntu à i prugrammi traspurtadore, hè statu custruitu in u SDKs da Facebook è Adjust prisente in elli, ammucciatu à mezu à i so cumpunenti.
Inoltre, u clicker hà attaccatu l'utilizatori selettivamente: ùn hà micca realizatu alcuna azzione maliciosa se a vittima potenziale ùn era micca un residente di unu di i paesi d'interessu per l'attaccanti.
Quì sottu sò esempi di applicazioni cù un Trojan incrustatu in elli:
Dopu avè installatu è lanciatu u clicker (in seguitu, a so mudificazione serà aduprata cum'è un esempiu
Se l'utilizatore accunsente à cuncede à ellu i permessi necessarii, u Troia serà capaci di ammuccià tutte e notificazioni nantu à l'SMS entranti è intercepte i testi di messagi.
In seguitu, u clicker trasmette dati tecnichi nantu à u dispositivu infettatu à u servore di cuntrollu è verifica u numeru di serie di a carta SIM di a vittima. Se currisponde à unu di i paesi di destinazione,
Se a carta SIM di a vittima ùn appartene micca à u paese di interessu à l'attaccanti, u Troia ùn piglia micca azzione è ferma a so attività maliciosa. E mudificazioni ricercate di u clicker attaccanu i residenti di i seguenti paesi:
- Austria
- Italia
- France
- Таиланд
- Малайзия
- Girmania
- Qatar
- Pulonia
- Grécia
- Irlanda
Dopu avè trasmessu l'infurmazioni numerichi
Dopu avè ricevutu l'indirizzu di u situ,
Malgradu u fattu chì u cliccà ùn hà micca a funzione di travaglià cù SMS è accede à i missaghji, bypasses sta limitazione. Va cusì. U serviziu Trojan monitoreghja e notificazioni da l'applicazione, chì per automaticamente hè assignatu à travaglià cù SMS. Quandu un missaghju ghjunghje, u serviziu oculta a notificazione di u sistema currispondente. Allora estrae l'infurmazioni nantu à l'SMS ricevuti da ellu è u trasmette à u receptore di broadcast Trojan. In u risultatu, l'utilizatore ùn vede micca notificazioni nantu à l'SMS entranti è ùn hè micca cunnisciutu di ciò chì succede. Ampara à abbunà à u serviziu solu quandu i soldi cumincianu à sparisce da u so contu, o quandu ellu vai à u menù di i missaghji è vede SMS in relazione à u serviziu premium.
Dopu chì i specialisti di Doctor Web anu cuntattatu Google, l'applicazioni maliziusi rilevati sò stati eliminati da Google Play. Tutte e mudificazioni cunnisciute di stu clicker sò rilevate è sguassate cù successu da i prudutti antivirus Dr.Web per Android è per quessa ùn ponenu micca una minaccia per i nostri utilizatori.
Source: www.habr.com