Ο Doctor Web ανακάλυψε έναν Trojan με κλικ στον επίσημο κατάλογο εφαρμογών Android που έχει τη δυνατότητα αυτόματης εγγραφής χρηστών σε υπηρεσίες επί πληρωμή. Οι αναλυτές ιών έχουν εντοπίσει αρκετές τροποποιήσεις αυτού του κακόβουλου προγράμματος, που ονομάζεται
Πρώτα, δημιούργησαν clickers σε αβλαβείς εφαρμογές —κάμερες και συλλογές εικόνων— που εκτελούσαν τις επιδιωκόμενες λειτουργίες τους. Ως αποτέλεσμα, δεν υπήρχε σαφής λόγος για τους χρήστες και τους επαγγελματίες ασφάλειας πληροφοριών να τους θεωρούν απειλή.
κατά δεύτερο λόγο, όλο το κακόβουλο λογισμικό προστατεύτηκε από τον εμπορικό συσκευαστή Jiagu, ο οποίος περιπλέκει τον εντοπισμό από προγράμματα προστασίας από ιούς και περιπλέκει την ανάλυση κώδικα. Με αυτόν τον τρόπο, ο Trojan είχε περισσότερες πιθανότητες να αποφύγει τον εντοπισμό από την ενσωματωμένη προστασία του καταλόγου Google Play.
Τρίτον, οι συγγραφείς ιών προσπάθησαν να συγκαλύψουν τον Trojan ως γνωστές διαφημιστικές και αναλυτικές βιβλιοθήκες. Μόλις προστέθηκε στα προγράμματα κινητής τηλεφωνίας, ενσωματώθηκε στα υπάρχοντα SDK από το Facebook και το Adjust, κρύβοντας ανάμεσα στα στοιχεία τους.
Επιπλέον, το clicker επιτέθηκε επιλεκτικά στους χρήστες: δεν έκανε καμία κακόβουλη ενέργεια εάν το πιθανό θύμα δεν ήταν κάτοικος μιας από τις χώρες που ενδιαφέρουν τους εισβολείς.
Ακολουθούν παραδείγματα εφαρμογών με ενσωματωμένο Trojan:
Μετά την εγκατάσταση και την εκκίνηση του clicker (εφεξής, η τροποποίησή του θα χρησιμοποιηθεί ως παράδειγμα
Εάν ο χρήστης συμφωνήσει να του παραχωρήσει τα απαραίτητα δικαιώματα, το Trojan θα μπορεί να κρύψει όλες τις ειδοποιήσεις σχετικά με τα εισερχόμενα SMS και τα κείμενα υποκλοπής μηνυμάτων.
Στη συνέχεια, το clicker μεταδίδει τεχνικά δεδομένα σχετικά με τη μολυσμένη συσκευή στον διακομιστή ελέγχου και ελέγχει τον σειριακό αριθμό της κάρτας SIM του θύματος. Εάν αντιστοιχεί σε μία από τις χώρες-στόχους,
Εάν η κάρτα SIM του θύματος δεν ανήκει στη χώρα που ενδιαφέρει τους εισβολείς, ο Trojan δεν λαμβάνει καμία ενέργεια και σταματά την κακόβουλη δραστηριότητά του. Οι τροποποιήσεις που ερευνήθηκαν για την επίθεση με κλικ σε κατοίκους των ακόλουθων χωρών:
- Αυστρία
- Ιταλία
- Γαλλία
- Ταϊλάνδη
- Μαλαισία
- Γερμανία
- Κατάρ
- Πολωνία
- Ελλάδα
- Ιρλανδία
Μετά τη μετάδοση των πληροφοριών αριθμού
Έχοντας λάβει τη διεύθυνση του ιστότοπου,
Παρά το γεγονός ότι το clicker δεν έχει τη λειτουργία εργασίας με SMS και πρόσβασης σε μηνύματα, παρακάμπτει αυτόν τον περιορισμό. Πάει κάπως έτσι. Η υπηρεσία Trojan παρακολουθεί τις ειδοποιήσεις από την εφαρμογή, η οποία από προεπιλογή έχει αντιστοιχιστεί να λειτουργεί με SMS. Όταν φτάσει ένα μήνυμα, η υπηρεσία αποκρύπτει την αντίστοιχη ειδοποίηση συστήματος. Στη συνέχεια εξάγει πληροφορίες σχετικά με το λαμβανόμενο SMS από αυτό και τις μεταδίδει στον δέκτη εκπομπής Trojan. Ως αποτέλεσμα, ο χρήστης δεν βλέπει ειδοποιήσεις σχετικά με τα εισερχόμενα SMS και δεν γνωρίζει τι συμβαίνει. Μαθαίνει για την εγγραφή στην υπηρεσία μόνο όταν αρχίσουν να εξαφανίζονται χρήματα από τον λογαριασμό του ή όταν πηγαίνει στο μενού μηνυμάτων και βλέπει SMS που σχετίζονται με την υπηρεσία premium.
Αφού οι ειδικοί του Doctor Web επικοινώνησαν με την Google, οι κακόβουλες εφαρμογές που εντοπίστηκαν αφαιρέθηκαν από το Google Play. Όλες οι γνωστές τροποποιήσεις αυτού του clicker εντοπίζονται και αφαιρούνται με επιτυχία από τα προϊόντα προστασίας από ιούς Dr.Web για Android και επομένως δεν αποτελούν απειλή για τους χρήστες μας.
Πηγή: www.habr.com