Doctor Web har opdaget en klikker-trojaner i det officielle katalog over Android-applikationer, der er i stand til automatisk at abonnere brugere på betalte tjenester. Virusanalytikere har identificeret flere modifikationer af dette ondsindede program, kaldet , и . For at skjule deres sande formål og også reducere sandsynligheden for opdagelse af trojaneren brugte angriberne flere teknikker.
For det første, indbyggede de klikkere i uskadelige applikationer – kameraer og billedsamlinger – der udførte deres tilsigtede funktioner. Som følge heraf var der ingen klar grund til, at brugere og informationssikkerhedsprofessionelle skulle se dem som en trussel.
For det andet, blev al malware beskyttet af den kommercielle Jiagu-pakker, som komplicerer detektion af antivirus og komplicerer kodeanalyse. På denne måde havde trojaneren en bedre chance for at undgå opdagelse med den indbyggede beskyttelse af Google Play-biblioteket.
For det tredje, forsøgte virusskribenter at skjule trojaneren som velkendte reklame- og analytiske biblioteker. Når den først blev tilføjet til transportørprogrammerne, blev den indbygget i de eksisterende SDK'er fra Facebook og Adjust, og gemte sig blandt deres komponenter.
Derudover angreb klikkeren brugere selektivt: den udførte ingen ondsindede handlinger, hvis det potentielle offer ikke var bosiddende i et af de lande, der var af interesse for angriberne.
Nedenfor er eksempler på applikationer med en trojaner indlejret i dem:
Efter installation og start af klikkeren (i det følgende vil dens ændring blive brugt som et eksempel ) forsøger at få adgang til operativsystemmeddelelser ved at vise følgende anmodning:
Hvis brugeren accepterer at give ham de nødvendige tilladelser, vil trojaneren være i stand til at skjule alle meddelelser om indgående SMS og opsnappe beskedtekster.
Dernæst sender klikkeren tekniske data om den inficerede enhed til kontrolserveren og kontrollerer serienummeret på ofrets SIM-kort. Hvis det matcher et af mållandene, sender oplysninger til serveren om det telefonnummer, der er knyttet til den. Samtidig viser klikkeren brugere fra visse lande et phishing-vindue, hvor de beder dem om at indtaste et nummer eller logge ind på deres Google-konto:
Hvis ofrets SIM-kort ikke tilhører det land, der interesserer angriberne, foretager trojaneren ingen handling og stopper sin ondsindede aktivitet. De undersøgte ændringer af klikkerangrebet indbyggere i følgende lande:
- Østrig
- Italien
- Frankrig
- Thailand
- Malaysia
- Tyskland
- Qatar
- Polen
- Grækenland
- Irland
Efter overførsel af nummerinformationen venter på kommandoer fra administrationsserveren. Den sender opgaver til trojaneren, som indeholder adresserne på websteder, der skal downloades og kodes i JavaScript-format. Denne kode bruges til at styre klikkeren gennem JavascriptInterface, vise pop op-meddelelser på enheden, udføre klik på websider og andre handlinger.
Efter at have modtaget webstedets adresse, åbner den i et usynligt WebView, hvor det tidligere accepterede JavaScript med parametre for klik også indlæses. Efter at have åbnet et websted med en premium-tjeneste, klikker trojaneren automatisk på de nødvendige links og knapper. Dernæst modtager han bekræftelseskoder fra SMS og bekræfter uafhængigt abonnementet.
På trods af at klikkeren ikke har funktionen at arbejde med SMS og få adgang til beskeder, omgår den denne begrænsning. Det går sådan her. Den trojanske tjeneste overvåger meddelelser fra applikationen, som som standard er tildelt til at arbejde med SMS. Når en besked ankommer, skjuler tjenesten den tilsvarende systemmeddelelse. Den udtrækker derefter information om den modtagne SMS fra den og sender den til den trojanske broadcast-modtager. Som følge heraf ser brugeren ingen meddelelser om indgående SMS og er ikke klar over, hvad der sker. Han lærer først at abonnere på tjenesten, når penge begynder at forsvinde fra hans konto, eller når han går til beskedmenuen og ser SMS relateret til premium-tjenesten.
Efter at Doctor Web-specialister kontaktede Google, blev de opdagede ondsindede applikationer fjernet fra Google Play. Alle kendte modifikationer af denne klikker bliver registreret og fjernet af Dr.Web antivirusprodukter til Android og udgør derfor ikke en trussel for vores brugere.
Kilde: www.habr.com