Doctor Web objevil v oficiálním katalogu aplikací pro Android klikací trojan, který je schopen automaticky přihlašovat uživatele k placeným službám. Analytici virů identifikovali několik modifikací tohoto škodlivého programu, tzv
Za prvé, zabudovali klikačky do neškodných aplikací – fotoaparátů a kolekcí obrázků – které plnily zamýšlené funkce. V důsledku toho neexistoval žádný jasný důvod, aby je uživatelé a odborníci na informační bezpečnost považovali za hrozbu.
Za druhé, byl veškerý malware chráněn komerčním balíčkem Jiagu, což komplikuje detekci antiviry a komplikuje analýzu kódu. Trojan tak měl větší šanci vyhnout se detekci pomocí vestavěné ochrany adresáře Google Play.
Za třetí, se autoři virů pokusili zamaskovat trojského koně jako známé reklamní a analytické knihovny. Jakmile byl přidán do nosných programů, byl zabudován do stávajících SDK od Facebooku a Adjust a skryl se mezi jejich komponenty.
Klikař navíc útočil na uživatele selektivně: neprováděl žádné škodlivé akce, pokud potenciální oběť nebyla obyvatelem jedné ze zemí, o které se útočníci zajímali.
Níže jsou uvedeny příklady aplikací s integrovaným trojským koněm:
Po instalaci a spuštění klikru (dále jeho modifikace bude použita jako příklad
Pokud uživatel souhlasí s udělením potřebných oprávnění, trojský kůň bude moci skrýt všechna upozornění na příchozí SMS a zachytit texty zpráv.
Poté kliker přenese technická data o infikovaném zařízení na řídicí server a zkontroluje sériové číslo SIM karty oběti. Pokud odpovídá jedné z cílových zemí,
Pokud SIM karta oběti nepatří do země, která útočníky zajímá, trojský kůň nepodnikne žádnou akci a zastaví svou zákeřnou činnost. Zkoumané modifikace clickeru útočí na obyvatele následujících zemí:
- Rakousko
- Itálie
- Francie
- Thailand
- Malajsie
- Německo
- Katar
- Polsko
- Řecko
- Irsko
Po odeslání informace o čísle
Po obdržení adresy webu
Navzdory tomu, že klikr nemá funkci práce s SMS a přístupu ke zprávám, toto omezení obchází. Jde to takhle. Služba Trojan sleduje upozornění z aplikace, která je ve výchozím nastavení přiřazena k práci se SMS. Když přijde zpráva, služba skryje odpovídající systémové upozornění. Z něj pak vytáhne informace o přijaté SMS a předá je do přijímače trojského vysílání. Díky tomu uživatel nevidí žádná upozornění na příchozí SMS a neví, co se děje. O předplacení služby se dozví, až když mu začnou mizet peníze z účtu, nebo když přejde do nabídky zpráv a uvidí SMS související s prémiovou službou.
Poté, co specialisté Doctor Web kontaktovali Google, byly zjištěné škodlivé aplikace odstraněny z Google Play. Všechny známé modifikace tohoto klikru jsou úspěšně detekovány a odstraněny antivirovými produkty Dr.Web pro Android, a proto nepředstavují hrozbu pro naše uživatele.
Zdroj: www.habr.com