Doctor Web hat im offiziellen Katalog der Android-Anwendungen einen Clicker-Trojaner entdeckt, der in der Lage ist, Benutzer automatisch für kostenpflichtige Dienste zu abonnieren. Virenanalysten haben mehrere Modifikationen dieses Schadprogramms namens „ , и . Um ihren wahren Zweck zu verbergen und gleichzeitig die Wahrscheinlichkeit einer Entdeckung des Trojaners zu verringern, nutzten die Angreifer verschiedene Techniken.
ErstensSie bauten Clicker in harmlose Anwendungen – Kameras und Bildsammlungen – ein, die ihre beabsichtigten Funktionen erfüllten. Daher gab es für Benutzer und Informationssicherheitsexperten keinen klaren Grund, sie als Bedrohung anzusehen.
Zweitenswurde die gesamte Malware durch den kommerziellen Paketer Jiagu geschützt, was die Erkennung durch Antivirenprogramme und die Codeanalyse erschwert. Dadurch hatte der Trojaner eine bessere Chance, der Entdeckung durch den integrierten Schutz des Google Play-Verzeichnisses zu entgehen.
Drittens, versuchten Virenschreiber, den Trojaner als bekannte Werbe- und Analysebibliotheken zu tarnen. Sobald es zu den Trägerprogrammen hinzugefügt wurde, wurde es in die vorhandenen SDKs von Facebook und Adjust integriert und versteckte sich zwischen ihren Komponenten.
Darüber hinaus griff der Clicker Benutzer selektiv an: Er führte keine böswilligen Aktionen aus, wenn das potenzielle Opfer nicht in einem der für die Angreifer interessanten Länder ansässig war.
Nachfolgend finden Sie Beispiele für Anwendungen, in denen ein Trojaner eingebettet ist:
Nach der Installation und dem Start des Clickers (im Folgenden wird seine Modifikation als Beispiel verwendet). ) versucht, auf Betriebssystembenachrichtigungen zuzugreifen, indem es die folgende Anfrage anzeigt:
Wenn der Benutzer zustimmt, ihm die erforderlichen Berechtigungen zu erteilen, kann der Trojaner alle Benachrichtigungen über eingehende SMS verbergen und Nachrichtentexte abfangen.
Anschließend übermittelt der Clicker technische Daten über das infizierte Gerät an den Kontrollserver und überprüft die Seriennummer der SIM-Karte des Opfers. Wenn es mit einem der Zielländer übereinstimmt, sendet an den Server Informationen über die damit verbundene Telefonnummer. Gleichzeitig zeigt der Clicker Nutzern aus bestimmten Ländern ein Phishing-Fenster an, in dem sie aufgefordert werden, eine Nummer einzugeben oder sich bei ihrem Google-Konto anzumelden:
Gehört die SIM-Karte des Opfers nicht zu dem für die Angreifer interessanten Land, unternimmt der Trojaner keine Maßnahmen und stoppt seine böswilligen Aktivitäten. Die untersuchten Modifikationen des Clickers greifen Bewohner folgender Länder an:
- Österreich
- Italien
- Frankreich
- Thailand
- Malaysia
- Deutschland
- Katar
- Polen
- Griechenland
- Irland
Nach der Übermittlung der Nummerninformationen wartet auf Befehle vom Managementserver. Er sendet Aufgaben an den Trojaner, die die Adressen von herunterzuladenden Websites und Code im JavaScript-Format enthalten. Dieser Code wird verwendet, um den Clicker über die Javascript-Schnittstelle zu steuern, Popup-Meldungen auf dem Gerät anzuzeigen, Klicks auf Webseiten durchzuführen und andere Aktionen auszuführen.
Nachdem Sie die Site-Adresse erhalten haben, öffnet es in einem unsichtbaren WebView, wo auch das zuvor akzeptierte JavaScript mit Parametern für Klicks geladen wird. Nach dem Öffnen einer Website mit einem Premium-Dienst klickt der Trojaner automatisch auf die erforderlichen Links und Schaltflächen. Anschließend erhält er Bestätigungscodes per SMS und bestätigt selbstständig das Abonnement.
Obwohl der Clicker nicht über die Funktion verfügt, mit SMS zu arbeiten und auf Nachrichten zuzugreifen, umgeht er diese Einschränkung. Es geht so. Der Trojaner-Dienst überwacht Benachrichtigungen der Anwendung, die standardmäßig für die Arbeit mit SMS vorgesehen ist. Wenn eine Nachricht eintrifft, blendet der Dienst die entsprechende Systembenachrichtigung aus. Daraus extrahiert er dann Informationen über die empfangene SMS und übermittelt sie an den Trojaner-Rundfunkempfänger. Dadurch sieht der Benutzer keine Benachrichtigungen über eingehende SMS und weiß nicht, was passiert. Vom Abonnieren des Dienstes erfährt er erst, wenn das Geld von seinem Konto abfließt oder wenn er im Nachrichtenmenü SMS sieht, die sich auf den Premiumdienst beziehen.
Nachdem die Spezialisten von Doctor Web Google kontaktiert hatten, wurden die erkannten Schadanwendungen aus Google Play entfernt. Alle bekannten Modifikationen dieses Clickers werden von Dr.Web Antivirenprodukten für Android erfolgreich erkannt und entfernt und stellen daher keine Gefahr für unsere Benutzer dar.
Source: habr.com