Doctor Web objevil v oficiálním katalogu aplikací pro Android klikací trojan, který je schopen automaticky přihlašovat uživatele k placeným službám. Analytici virů identifikovali několik modifikací tohoto škodlivého programu, tzv , и . Aby útočníci skryli svůj skutečný účel a také snížili pravděpodobnost odhalení trojského koně, použili několik technik.
Za prvé, zabudovali klikačky do neškodných aplikací – fotoaparátů a kolekcí obrázků – které plnily zamýšlené funkce. V důsledku toho neexistoval žádný jasný důvod, aby je uživatelé a odborníci na informační bezpečnost považovali za hrozbu.
Za druhé, byl veškerý malware chráněn komerčním balíčkem Jiagu, což komplikuje detekci antiviry a komplikuje analýzu kódu. Trojan tak měl větší šanci vyhnout se detekci pomocí vestavěné ochrany adresáře Google Play.
Za třetí, se autoři virů pokusili zamaskovat trojského koně jako známé reklamní a analytické knihovny. Jakmile byl přidán do nosných programů, byl zabudován do stávajících SDK od Facebooku a Adjust a skryl se mezi jejich komponenty.
Klikař navíc útočil na uživatele selektivně: neprováděl žádné škodlivé akce, pokud potenciální oběť nebyla obyvatelem jedné ze zemí, o které se útočníci zajímali.
Níže jsou uvedeny příklady aplikací s integrovaným trojským koněm:
Po instalaci a spuštění klikru (dále jeho modifikace bude použita jako příklad ) se pokusí získat přístup k oznámením operačního systému zobrazením následujícího požadavku:
Pokud uživatel souhlasí s udělením potřebných oprávnění, trojský kůň bude moci skrýt všechna upozornění na příchozí SMS a zachytit texty zpráv.
Poté kliker přenese technická data o infikovaném zařízení na řídicí server a zkontroluje sériové číslo SIM karty oběti. Pokud odpovídá jedné z cílových zemí, odešle serveru informace o telefonním čísle, které je k němu přiřazeno. Kliknutí zároveň uživatelům z určitých zemí zobrazí phishingové okno, kde je požádají o zadání čísla nebo přihlášení ke svému účtu Google:
Pokud SIM karta oběti nepatří do země, která útočníky zajímá, trojský kůň nepodnikne žádnou akci a zastaví svou zákeřnou činnost. Zkoumané modifikace clickeru útočí na obyvatele následujících zemí:
- Rakousko
- Itálie
- Francie
- Thailand
- Malajsie
- Německo
- Katar
- Polsko
- Řecko
- Irsko
Po odeslání informace o čísle čeká na příkazy ze serveru pro správu. Posílá trojskému koni úlohy, které obsahují adresy webových stránek ke stažení a kódují ve formátu JavaScript. Tento kód se používá k ovládání klikače prostřednictvím rozhraní JavascriptInterface, zobrazování vyskakovacích zpráv na zařízení, provádění kliknutí na webové stránky a dalších akcí.
Po obdržení adresy webu otevře jej v neviditelném WebView, kde se načte i dříve akceptovaný JavaScript s parametry pro kliknutí. Po otevření webu s prémiovou službou trojský kůň automaticky klikne na potřebné odkazy a tlačítka. Dále obdrží ověřovací kódy z SMS a nezávisle potvrdí předplatné.
Navzdory tomu, že klikr nemá funkci práce s SMS a přístupu ke zprávám, toto omezení obchází. Jde to takhle. Služba Trojan sleduje upozornění z aplikace, která je ve výchozím nastavení přiřazena k práci se SMS. Když přijde zpráva, služba skryje odpovídající systémové upozornění. Z něj pak vytáhne informace o přijaté SMS a předá je do přijímače trojského vysílání. Díky tomu uživatel nevidí žádná upozornění na příchozí SMS a neví, co se děje. O předplacení služby se dozví, až když mu začnou mizet peníze z účtu, nebo když přejde do nabídky zpráv a uvidí SMS související s prémiovou službou.
Poté, co specialisté Doctor Web kontaktovali Google, byly zjištěné škodlivé aplikace odstraněny z Google Play. Všechny známé modifikace tohoto klikru jsou úspěšně detekovány a odstraněny antivirovými produkty Dr.Web pro Android, a proto nepředstavují hrozbu pro naše uživatele.
Zdroj: www.habr.com