Mae Doctor Web wedi darganfod Trojan cliciwr yn y catalog swyddogol o gymwysiadau Android sy'n gallu tanysgrifio defnyddwyr yn awtomatig i wasanaethau taledig. Mae dadansoddwyr firws wedi nodi sawl addasiad i'r rhaglen faleisus hon, o'r enw
Yn gyntaf, fe wnaethant gynnwys clicwyr yn gymwysiadau diniwed - camerΓ’u a chasgliadau delweddau - a oedd yn cyflawni eu swyddogaethau bwriadedig. O ganlyniad, nid oedd unrhyw reswm clir i ddefnyddwyr a gweithwyr proffesiynol diogelwch gwybodaeth eu hystyried yn fygythiad.
Yn ail, roedd pob malware yn cael ei warchod gan y paciwr Jiagu masnachol, sy'n cymhlethu canfod gan antiviruses ac yn cymhlethu dadansoddiad cod. Fel hyn, roedd gan y pren Troea well siawns o osgoi canfod trwy amddiffyniad adeiledig cyfeiriadur Google Play.
Yn drydydd, ceisiodd awduron firws guddio'r Trojan fel llyfrgelloedd hysbysebu a dadansoddol adnabyddus. Ar Γ΄l ei ychwanegu at y rhaglenni cludwr, cafodd ei ymgorffori yn y SDKs presennol o Facebook ac Adjust, gan guddio ymhlith eu cydrannau.
Yn ogystal, ymosododd y cliciwr ar ddefnyddwyr yn ddetholus: ni chyflawnodd unrhyw gamau maleisus os nad oedd y dioddefwr posibl yn breswylydd yn un o'r gwledydd sydd o ddiddordeb i'r ymosodwyr.
Isod mae enghreifftiau o gymwysiadau gyda Trojan wedi'i fewnosod ynddynt:
Ar Γ΄l gosod a lansio'r cliciwr (o hyn ymlaen, bydd ei addasiad yn cael ei ddefnyddio fel enghraifft
Os yw'r defnyddiwr yn cytuno i roi'r caniatΓ’d angenrheidiol iddo, bydd y pren Troea yn gallu cuddio'r holl hysbysiadau am negeseuon testun sy'n dod i mewn a negeseuon rhyng-gipio.
Nesaf, mae'r cliciwr yn trosglwyddo data technegol am y ddyfais heintiedig i'r gweinydd rheoli ac yn gwirio rhif cyfresol cerdyn SIM y dioddefwr. Os yw'n cyfateb i un o'r gwledydd targed,
Os nad yw cerdyn SIM y dioddefwr yn perthyn i wlad o ddiddordeb i'r ymosodwyr, nid yw'r Trojan yn cymryd unrhyw gamau ac yn atal ei weithgaredd maleisus. Mae'r addasiadau a ymchwiliwyd i'r ymosodiad cliciwr ar drigolion y gwledydd canlynol:
- ΠΠ²ΡΡΡΠΈΡ
- Yr Eidal
- Ffrainc
- Gwlad Thai
- Malaysia
- Yr Almaen
- Qatar
- Gwlad Pwyl
- Gwlad Groeg
- Iwerddon
Ar Γ΄l trosglwyddo'r wybodaeth rhif
Wedi derbyn cyfeiriad y safle,
Er gwaethaf y ffaith nad oes gan y cliciwr y swyddogaeth o weithio gyda SMS a chyrchu negeseuon, mae'n osgoi'r cyfyngiad hwn. Mae'n mynd fel hyn. Mae'r gwasanaeth Trojan yn monitro hysbysiadau o'r cais, sydd yn ddiofyn yn cael ei neilltuo i weithio gyda SMS. Pan fydd neges yn cyrraedd, mae'r gwasanaeth yn cuddio'r hysbysiad system cyfatebol. Yna mae'n tynnu gwybodaeth am y SMS a dderbyniwyd ohono ac yn ei drosglwyddo i'r derbynnydd darlledu Trojan. O ganlyniad, nid yw'r defnyddiwr yn gweld unrhyw hysbysiadau am SMS sy'n dod i mewn ac nid yw'n ymwybodol o'r hyn sy'n digwydd. Mae'n dysgu am danysgrifio i'r gwasanaeth dim ond pan fydd arian yn dechrau diflannu o'i gyfrif, neu pan fydd yn mynd i'r ddewislen negeseuon ac yn gweld SMS yn ymwneud Γ’'r gwasanaeth premiwm.
Ar Γ΄l i arbenigwyr Doctor Web gysylltu Γ’ Google, cafodd y cymwysiadau maleisus a ganfuwyd eu tynnu o Google Play. Mae'r holl addasiadau hysbys o'r cliciwr hwn yn cael eu canfod a'u dileu'n llwyddiannus gan gynhyrchion gwrth-feirws Dr.Web ar gyfer Android ac felly nid ydynt yn fygythiad i'n defnyddwyr.
Ffynhonnell: hab.com