Mae Doctor Web wedi darganfod Trojan cliciwr yn y catalog swyddogol o gymwysiadau Android sy'n gallu tanysgrifio defnyddwyr yn awtomatig i wasanaethau taledig. Mae dadansoddwyr firws wedi nodi sawl addasiad i'r rhaglen faleisus hon, o'r enw , ΠΈ . Er mwyn cuddio eu gwir bwrpas a hefyd lleihau'r tebygolrwydd o ganfod y pren Troea, defnyddiodd ymosodwyr nifer o dechnegau.
Yn gyntaf, fe wnaethant gynnwys clicwyr yn gymwysiadau diniwed - camerΓ’u a chasgliadau delweddau - a oedd yn cyflawni eu swyddogaethau bwriadedig. O ganlyniad, nid oedd unrhyw reswm clir i ddefnyddwyr a gweithwyr proffesiynol diogelwch gwybodaeth eu hystyried yn fygythiad.
Yn ail, roedd pob malware yn cael ei warchod gan y paciwr Jiagu masnachol, sy'n cymhlethu canfod gan antiviruses ac yn cymhlethu dadansoddiad cod. Fel hyn, roedd gan y pren Troea well siawns o osgoi canfod trwy amddiffyniad adeiledig cyfeiriadur Google Play.
Yn drydydd, ceisiodd awduron firws guddio'r Trojan fel llyfrgelloedd hysbysebu a dadansoddol adnabyddus. Ar Γ΄l ei ychwanegu at y rhaglenni cludwr, cafodd ei ymgorffori yn y SDKs presennol o Facebook ac Adjust, gan guddio ymhlith eu cydrannau.
Yn ogystal, ymosododd y cliciwr ar ddefnyddwyr yn ddetholus: ni chyflawnodd unrhyw gamau maleisus os nad oedd y dioddefwr posibl yn breswylydd yn un o'r gwledydd sydd o ddiddordeb i'r ymosodwyr.
Isod mae enghreifftiau o gymwysiadau gyda Trojan wedi'i fewnosod ynddynt:
Ar Γ΄l gosod a lansio'r cliciwr (o hyn ymlaen, bydd ei addasiad yn cael ei ddefnyddio fel enghraifft ) yn ceisio cyrchu hysbysiadau system weithredu trwy ddangos y cais canlynol:
Os yw'r defnyddiwr yn cytuno i roi'r caniatΓ’d angenrheidiol iddo, bydd y pren Troea yn gallu cuddio'r holl hysbysiadau am negeseuon testun sy'n dod i mewn a negeseuon rhyng-gipio.
Nesaf, mae'r cliciwr yn trosglwyddo data technegol am y ddyfais heintiedig i'r gweinydd rheoli ac yn gwirio rhif cyfresol cerdyn SIM y dioddefwr. Os yw'n cyfateb i un o'r gwledydd targed, yn anfon gwybodaeth i'r gweinydd am y rhif ffΓ΄n sy'n gysylltiedig ag ef. Ar yr un pryd, mae'r cliciwr yn dangos ffenestr gwe-rwydo i ddefnyddwyr o rai gwledydd lle maent yn gofyn iddynt nodi rhif neu fewngofnodi i'w cyfrif Google:
Os nad yw cerdyn SIM y dioddefwr yn perthyn i wlad o ddiddordeb i'r ymosodwyr, nid yw'r Trojan yn cymryd unrhyw gamau ac yn atal ei weithgaredd maleisus. Mae'r addasiadau a ymchwiliwyd i'r ymosodiad cliciwr ar drigolion y gwledydd canlynol:
- ΠΠ²ΡΡΡΠΈΡ
- Yr Eidal
- Ffrainc
- Gwlad Thai
- Malaysia
- Yr Almaen
- Qatar
- Gwlad Pwyl
- Gwlad Groeg
- Iwerddon
Ar Γ΄l trosglwyddo'r wybodaeth rhif yn aros am orchmynion gan y gweinydd rheoli. Mae'n anfon tasgau i'r Trojan, sy'n cynnwys cyfeiriadau gwefannau i'w lawrlwytho a'u codio ar ffurf JavaScript. Defnyddir y cod hwn i reoli'r cliciwr trwy'r JavascriptInterface, arddangos negeseuon naid ar y ddyfais, perfformio cliciau ar dudalennau gwe, a gweithredoedd eraill.
Wedi derbyn cyfeiriad y safle, yn ei agor mewn WebView anweledig, lle mae'r JavaScript a dderbyniwyd yn flaenorol gyda pharamedrau ar gyfer cliciau hefyd yn cael ei lwytho. Ar Γ΄l agor gwefan gyda gwasanaeth premiwm, mae'r Trojan yn clicio'n awtomatig ar y dolenni a'r botymau angenrheidiol. Nesaf, mae'n derbyn codau dilysu o SMS ac yn cadarnhau'r tanysgrifiad yn annibynnol.
Er gwaethaf y ffaith nad oes gan y cliciwr y swyddogaeth o weithio gyda SMS a chyrchu negeseuon, mae'n osgoi'r cyfyngiad hwn. Mae'n mynd fel hyn. Mae'r gwasanaeth Trojan yn monitro hysbysiadau o'r cais, sydd yn ddiofyn yn cael ei neilltuo i weithio gyda SMS. Pan fydd neges yn cyrraedd, mae'r gwasanaeth yn cuddio'r hysbysiad system cyfatebol. Yna mae'n tynnu gwybodaeth am y SMS a dderbyniwyd ohono ac yn ei drosglwyddo i'r derbynnydd darlledu Trojan. O ganlyniad, nid yw'r defnyddiwr yn gweld unrhyw hysbysiadau am SMS sy'n dod i mewn ac nid yw'n ymwybodol o'r hyn sy'n digwydd. Mae'n dysgu am danysgrifio i'r gwasanaeth dim ond pan fydd arian yn dechrau diflannu o'i gyfrif, neu pan fydd yn mynd i'r ddewislen negeseuon ac yn gweld SMS yn ymwneud Γ’'r gwasanaeth premiwm.
Ar Γ΄l i arbenigwyr Doctor Web gysylltu Γ’ Google, cafodd y cymwysiadau maleisus a ganfuwyd eu tynnu o Google Play. Mae'r holl addasiadau hysbys o'r cliciwr hwn yn cael eu canfod a'u dileu'n llwyddiannus gan gynhyrchion gwrth-feirws Dr.Web ar gyfer Android ac felly nid ydynt yn fygythiad i'n defnyddwyr.
Ffynhonnell: hab.com