Doctor Web hà scupertu un troianu di cliccà in u catalogu ufficiale di l'applicazioni Android chì hè capace di abbonà automaticamente l'utilizatori à i servizii pagati. L'analista di virus anu identificatu parechje mudificazioni di stu prugramma maliziusu, chjamatu , и . Per ammuccià u so veru scopu è riduce a probabilità di deteczione di u Troia, l'attaccanti anu utilizatu parechje tecniche.
Prima, anu custruitu clickers in appiicazioni innocue-camere è cullezzione d'imaghjini-chì anu realizatu e so funzioni destinate. In u risultatu, ùn ci era micca un mutivu chjaru per l'utilizatori è i prufessiunali di sicurezza di l'infurmazioni per vedeli cum'è una minaccia.
Siconda, tuttu u malware hè stata prutetta da u pacchettu cummerciale Jiagu, chì complica a deteczione da antivirus è complica l'analisi di codice. In questu modu, u Troia hà avutu una megliu chance di evità a rilevazione da a prutezzione integrata di u repertoriu Google Play.
Tercero, i scrittori di virus anu pruvatu à disguise u Trojan cum'è biblioteche di publicità è analitiche famose. Dopu à esse aghjuntu à i prugrammi traspurtadore, hè statu custruitu in u SDKs da Facebook è Adjust prisente in elli, ammucciatu à mezu à i so cumpunenti.
Inoltre, u clicker hà attaccatu l'utilizatori selettivamente: ùn hà micca realizatu alcuna azzione maliciosa se a vittima potenziale ùn era micca un residente di unu di i paesi d'interessu per l'attaccanti.
Quì sottu sò esempi di applicazioni cù un Trojan incrustatu in elli:
Dopu avè installatu è lanciatu u clicker (in seguitu, a so mudificazione serà aduprata cum'è un esempiu ) prova à accede à e notificazioni di u sistema operatore affissendu a seguente dumanda:
Se l'utilizatore accunsente à cuncede à ellu i permessi necessarii, u Troia serà capaci di ammuccià tutte e notificazioni nantu à l'SMS entranti è intercepte i testi di messagi.
In seguitu, u clicker trasmette dati tecnichi nantu à u dispositivu infettatu à u servore di cuntrollu è verifica u numeru di serie di a carta SIM di a vittima. Se currisponde à unu di i paesi di destinazione, manda à u servore infurmazione nantu à u numeru di telefonu assuciatu cun ellu. À u listessu tempu, u cliccà mostra à l'utilizatori di certi paesi una finestra di phishing induve li dumandanu di inserisce un numeru o accede à u so contu Google:
Se a carta SIM di a vittima ùn appartene micca à u paese di interessu à l'attaccanti, u Troia ùn piglia micca azzione è ferma a so attività maliciosa. E mudificazioni ricercate di u clicker attaccanu i residenti di i seguenti paesi:
- Austria
- Italia
- France
- Таиланд
- Малайзия
- Girmania
- Qatar
- Pulonia
- Grécia
- Irlanda
Dopu avè trasmessu l'infurmazioni numerichi aspetta cumandamenti da u servitore di gestione. Mandate i travaglii à u Trojan, chì cuntenenu l'indirizzi di i siti web per scaricà è codificà in u formatu JavaScript. Stu codice hè utilizatu per cuntrullà u clicker per mezu di l'Interface Javascript, vede i missaghji pop-up in u dispusitivu, eseguisce clicchi nantu à e pagine web è altre azzioni.
Dopu avè ricevutu l'indirizzu di u situ, l'apre in un WebView invisibule, induve u JavaScript accettatu prima cù parametri per i clicchi hè ancu caricatu. Dopu avè apertu un situ web cù un serviziu premium, u Trojan cliccà automaticamente nantu à i ligami è i buttoni necessarii. Dopu, riceve codici di verificazione da SMS è cunfirma indipindente l'abbonamentu.
Malgradu u fattu chì u cliccà ùn hà micca a funzione di travaglià cù SMS è accede à i missaghji, bypasses sta limitazione. Va cusì. U serviziu Trojan monitoreghja e notificazioni da l'applicazione, chì per automaticamente hè assignatu à travaglià cù SMS. Quandu un missaghju ghjunghje, u serviziu oculta a notificazione di u sistema currispondente. Allora estrae l'infurmazioni nantu à l'SMS ricevuti da ellu è u trasmette à u receptore di broadcast Trojan. In u risultatu, l'utilizatore ùn vede micca notificazioni nantu à l'SMS entranti è ùn hè micca cunnisciutu di ciò chì succede. Ampara à abbunà à u serviziu solu quandu i soldi cumincianu à sparisce da u so contu, o quandu ellu vai à u menù di i missaghji è vede SMS in relazione à u serviziu premium.
Dopu chì i specialisti di Doctor Web anu cuntattatu Google, l'applicazioni maliziusi rilevati sò stati eliminati da Google Play. Tutte e mudificazioni cunnisciute di stu clicker sò rilevate è sguassate cù successu da i prudutti antivirus Dr.Web per Android è per quessa ùn ponenu micca una minaccia per i nostri utilizatori.
Source: www.habr.com