Doctor Web har opdaget en klikker-trojaner i det officielle katalog over Android-applikationer, der er i stand til automatisk at abonnere brugere på betalte tjenester. Virusanalytikere har identificeret flere modifikationer af dette ondsindede program, kaldet
For det første, indbyggede de klikkere i uskadelige applikationer – kameraer og billedsamlinger – der udførte deres tilsigtede funktioner. Som følge heraf var der ingen klar grund til, at brugere og informationssikkerhedsprofessionelle skulle se dem som en trussel.
For det andet, blev al malware beskyttet af den kommercielle Jiagu-pakker, som komplicerer detektion af antivirus og komplicerer kodeanalyse. På denne måde havde trojaneren en bedre chance for at undgå opdagelse med den indbyggede beskyttelse af Google Play-biblioteket.
For det tredje, forsøgte virusskribenter at skjule trojaneren som velkendte reklame- og analytiske biblioteker. Når den først blev tilføjet til transportørprogrammerne, blev den indbygget i de eksisterende SDK'er fra Facebook og Adjust, og gemte sig blandt deres komponenter.
Derudover angreb klikkeren brugere selektivt: den udførte ingen ondsindede handlinger, hvis det potentielle offer ikke var bosiddende i et af de lande, der var af interesse for angriberne.
Nedenfor er eksempler på applikationer med en trojaner indlejret i dem:
Efter installation og start af klikkeren (i det følgende vil dens ændring blive brugt som et eksempel
Hvis brugeren accepterer at give ham de nødvendige tilladelser, vil trojaneren være i stand til at skjule alle meddelelser om indgående SMS og opsnappe beskedtekster.
Dernæst sender klikkeren tekniske data om den inficerede enhed til kontrolserveren og kontrollerer serienummeret på ofrets SIM-kort. Hvis det matcher et af mållandene,
Hvis ofrets SIM-kort ikke tilhører det land, der interesserer angriberne, foretager trojaneren ingen handling og stopper sin ondsindede aktivitet. De undersøgte ændringer af klikkerangrebet indbyggere i følgende lande:
- Østrig
- Italien
- Frankrig
- Thailand
- Malaysia
- Tyskland
- Qatar
- Polen
- Grækenland
- Irland
Efter overførsel af nummerinformationen
Efter at have modtaget webstedets adresse,
På trods af at klikkeren ikke har funktionen at arbejde med SMS og få adgang til beskeder, omgår den denne begrænsning. Det går sådan her. Den trojanske tjeneste overvåger meddelelser fra applikationen, som som standard er tildelt til at arbejde med SMS. Når en besked ankommer, skjuler tjenesten den tilsvarende systemmeddelelse. Den udtrækker derefter information om den modtagne SMS fra den og sender den til den trojanske broadcast-modtager. Som følge heraf ser brugeren ingen meddelelser om indgående SMS og er ikke klar over, hvad der sker. Han lærer først at abonnere på tjenesten, når penge begynder at forsvinde fra hans konto, eller når han går til beskedmenuen og ser SMS relateret til premium-tjenesten.
Efter at Doctor Web-specialister kontaktede Google, blev de opdagede ondsindede applikationer fjernet fra Google Play. Alle kendte modifikationer af denne klikker bliver registreret og fjernet af Dr.Web antivirusprodukter til Android og udgør derfor ikke en trussel for vores brugere.
Kilde: www.habr.com