Ο Doctor Web ανακάλυψε έναν Trojan με κλικ στον επίσημο κατάλογο εφαρμογών Android που έχει τη δυνατότητα αυτόματης εγγραφής χρηστών σε υπηρεσίες επί πληρωμή. Οι αναλυτές ιών έχουν εντοπίσει αρκετές τροποποιήσεις αυτού του κακόβουλου προγράμματος, που ονομάζεται , и . Για να κρύψουν τον πραγματικό τους σκοπό και επίσης να μειώσουν την πιθανότητα ανίχνευσης του Trojan, οι εισβολείς χρησιμοποίησαν διάφορες τεχνικές.
Πρώτα, δημιούργησαν clickers σε αβλαβείς εφαρμογές —κάμερες και συλλογές εικόνων— που εκτελούσαν τις επιδιωκόμενες λειτουργίες τους. Ως αποτέλεσμα, δεν υπήρχε σαφής λόγος για τους χρήστες και τους επαγγελματίες ασφάλειας πληροφοριών να τους θεωρούν απειλή.
κατά δεύτερο λόγο, όλο το κακόβουλο λογισμικό προστατεύτηκε από τον εμπορικό συσκευαστή Jiagu, ο οποίος περιπλέκει τον εντοπισμό από προγράμματα προστασίας από ιούς και περιπλέκει την ανάλυση κώδικα. Με αυτόν τον τρόπο, ο Trojan είχε περισσότερες πιθανότητες να αποφύγει τον εντοπισμό από την ενσωματωμένη προστασία του καταλόγου Google Play.
Τρίτον, οι συγγραφείς ιών προσπάθησαν να συγκαλύψουν τον Trojan ως γνωστές διαφημιστικές και αναλυτικές βιβλιοθήκες. Μόλις προστέθηκε στα προγράμματα κινητής τηλεφωνίας, ενσωματώθηκε στα υπάρχοντα SDK από το Facebook και το Adjust, κρύβοντας ανάμεσα στα στοιχεία τους.
Επιπλέον, το clicker επιτέθηκε επιλεκτικά στους χρήστες: δεν έκανε καμία κακόβουλη ενέργεια εάν το πιθανό θύμα δεν ήταν κάτοικος μιας από τις χώρες που ενδιαφέρουν τους εισβολείς.
Ακολουθούν παραδείγματα εφαρμογών με ενσωματωμένο Trojan:
Μετά την εγκατάσταση και την εκκίνηση του clicker (εφεξής, η τροποποίησή του θα χρησιμοποιηθεί ως παράδειγμα ) επιχειρεί να αποκτήσει πρόσβαση στις ειδοποιήσεις του λειτουργικού συστήματος εμφανίζοντας το ακόλουθο αίτημα:
Εάν ο χρήστης συμφωνήσει να του παραχωρήσει τα απαραίτητα δικαιώματα, το Trojan θα μπορεί να κρύψει όλες τις ειδοποιήσεις σχετικά με τα εισερχόμενα SMS και τα κείμενα υποκλοπής μηνυμάτων.
Στη συνέχεια, το clicker μεταδίδει τεχνικά δεδομένα σχετικά με τη μολυσμένη συσκευή στον διακομιστή ελέγχου και ελέγχει τον σειριακό αριθμό της κάρτας SIM του θύματος. Εάν αντιστοιχεί σε μία από τις χώρες-στόχους, στέλνει στον διακομιστή πληροφορίες σχετικά με τον αριθμό τηλεφώνου που σχετίζεται με αυτό. Ταυτόχρονα, το κλικ εμφανίζει στους χρήστες από ορισμένες χώρες ένα παράθυρο phishing όπου τους ζητούν να εισαγάγουν έναν αριθμό ή να συνδεθούν στον λογαριασμό τους Google:
Εάν η κάρτα SIM του θύματος δεν ανήκει στη χώρα που ενδιαφέρει τους εισβολείς, ο Trojan δεν λαμβάνει καμία ενέργεια και σταματά την κακόβουλη δραστηριότητά του. Οι τροποποιήσεις που ερευνήθηκαν για την επίθεση με κλικ σε κατοίκους των ακόλουθων χωρών:
- Αυστρία
- Ιταλία
- Γαλλία
- Ταϊλάνδη
- Μαλαισία
- Γερμανία
- Κατάρ
- Πολωνία
- Ελλάδα
- Ιρλανδία
Μετά τη μετάδοση των πληροφοριών αριθμού περιμένει για εντολές από τον διακομιστή διαχείρισης. Στέλνει εργασίες στο Trojan, οι οποίες περιέχουν τις διευθύνσεις ιστοσελίδων προς λήψη και κωδικοποίηση σε μορφή JavaScript. Αυτός ο κώδικας χρησιμοποιείται για τον έλεγχο του προγράμματος κλικ μέσω του JavascriptInterface, την εμφάνιση αναδυόμενων μηνυμάτων στη συσκευή, την εκτέλεση κλικ σε ιστοσελίδες και άλλες ενέργειες.
Έχοντας λάβει τη διεύθυνση του ιστότοπου, το ανοίγει σε ένα αόρατο WebView, όπου φορτώνεται και η προηγουμένως αποδεκτή JavaScript με παραμέτρους για κλικ. Μετά το άνοιγμα ενός ιστότοπου με premium υπηρεσία, ο Trojan κάνει αυτόματα κλικ στους απαραίτητους συνδέσμους και κουμπιά. Στη συνέχεια, λαμβάνει κωδικούς επαλήθευσης από SMS και επιβεβαιώνει ανεξάρτητα τη συνδρομή.
Παρά το γεγονός ότι το clicker δεν έχει τη λειτουργία εργασίας με SMS και πρόσβασης σε μηνύματα, παρακάμπτει αυτόν τον περιορισμό. Πάει κάπως έτσι. Η υπηρεσία Trojan παρακολουθεί τις ειδοποιήσεις από την εφαρμογή, η οποία από προεπιλογή έχει αντιστοιχιστεί να λειτουργεί με SMS. Όταν φτάσει ένα μήνυμα, η υπηρεσία αποκρύπτει την αντίστοιχη ειδοποίηση συστήματος. Στη συνέχεια εξάγει πληροφορίες σχετικά με το λαμβανόμενο SMS από αυτό και τις μεταδίδει στον δέκτη εκπομπής Trojan. Ως αποτέλεσμα, ο χρήστης δεν βλέπει ειδοποιήσεις σχετικά με τα εισερχόμενα SMS και δεν γνωρίζει τι συμβαίνει. Μαθαίνει για την εγγραφή στην υπηρεσία μόνο όταν αρχίσουν να εξαφανίζονται χρήματα από τον λογαριασμό του ή όταν πηγαίνει στο μενού μηνυμάτων και βλέπει SMS που σχετίζονται με την υπηρεσία premium.
Αφού οι ειδικοί του Doctor Web επικοινώνησαν με την Google, οι κακόβουλες εφαρμογές που εντοπίστηκαν αφαιρέθηκαν από το Google Play. Όλες οι γνωστές τροποποιήσεις αυτού του clicker εντοπίζονται και αφαιρούνται με επιτυχία από τα προϊόντα προστασίας από ιούς Dr.Web για Android και επομένως δεν αποτελούν απειλή για τους χρήστες μας.
Πηγή: www.habr.com