Doctor Web malkovris klak-trojanon en la oficiala katalogo de Android-aplikoj, kiu kapablas aŭtomate aboni uzantojn al pagitaj servoj. Virusaj analizistoj identigis plurajn modifojn de ĉi tiu malica programo, nomata , и . Por kaŝi sian veran celon kaj ankaŭ redukti la verŝajnecon de detekto de la trojano, atakantoj uzis plurajn teknikojn.
Unue, ili konstruis klakilojn en senkulpajn aplikojn - fotilojn kaj bildkolektojn - kiuj plenumis siajn celitajn funkciojn. Kiel rezulto, ekzistis neniu klara kialo por uzantoj kaj informsekurecaj profesiuloj rigardi ilin kiel minacon.
Dua, ĉiuj malware estis protektitaj de la komerca Jiagu pakisto, kiu malfaciligas detekton de antivirusoj kaj malfaciligas kodan analizon. Tiel, la trojano havis pli bonan ŝancon eviti detekton per la enkonstruita protekto de la dosierujo de Google Play.
Trie, virusverkistoj provis maski la Trojanon kiel konataj reklamaj kaj analizaj bibliotekoj. Post kiam aldonita al la portantaj programoj, ĝi estis konstruita en la ekzistantajn SDK-ojn de Facebook kaj Adjust, kaŝante inter iliaj komponantoj.
Krome, la klakisto atakis uzantojn selekteme: ĝi ne faris ajnajn malicajn agojn se la ebla viktimo ne estis loĝanto de unu el la landoj de intereso por la atakantoj.
Malsupre estas ekzemploj de aplikoj kun trojano enigita en ili:
Post instalo kaj lanĉo de la klakilo (ĉi-poste, ĝia modifo estos uzata kiel ekzemplo ) provas aliri sciigojn de operaciumo montrante la jenan peton:
Se la uzanto konsentas doni al li la necesajn permesojn, la trojano povos kaŝi ĉiujn sciigojn pri alvenantaj SMS kaj kapti mesaĝajn tekstojn.
Poste, la klakilo transdonas teknikajn datumojn pri la infektita aparato al la kontrolservilo kaj kontrolas la serian numeron de la SIM-karto de la viktimo. Se ĝi kongruas kun unu el la cellandoj, sendas al la servilo informojn pri la telefonnumero asociita kun ĝi. Samtempe, la klakilo montras al uzantoj de certaj landoj fenestron de phishing kie ili petas ilin enigi numeron aŭ ensaluti al sia Google-konto:
Se la SIM-karto de la viktimo ne apartenas al la lando interesata por la atakantoj, la trojano faras neniun agon kaj ĉesigas sian malican agadon. La esploritaj modifoj de la klakilo atakas loĝantojn de la sekvaj landoj:
- Aŭstrio
- Italio
- Francio
- Таиланд
- Малайзия
- Germanio
- Kataro
- Pollando
- Grekio
- Irlando
Post elsendado de la nombro-informo atendas komandojn de la administra servilo. Ĝi sendas taskojn al la Trojano, kiu enhavas la adresojn de retejoj por elŝuti kaj kodigi en JavaScript-formato. Ĉi tiu kodo estas uzata por kontroli la klakilon per la JavascriptInterface, montri ŝprucmesaĝojn sur la aparato, fari klakojn sur retpaĝoj kaj aliaj agoj.
Ricevinte la retejo-adreson, malfermas ĝin en nevidebla WebView, kie la antaŭe akceptita JavaScript kun parametroj por klakoj estas ankaŭ ŝargita. Post malfermi retejon kun altkvalita servo, la trojano aŭtomate alklakas la necesajn ligilojn kaj butonojn. Poste, li ricevas konfirmkodojn de SMS kaj sendepende konfirmas la abonon.
Malgraŭ la fakto, ke la klakilo ne havas la funkcion labori kun SMS kaj aliri mesaĝojn, ĝi preteriras ĉi tiun limigon. Ĝi iras tiel. La troja servo kontrolas sciigojn de la aplikaĵo, kiu defaŭlte estas asignita por labori kun SMS. Kiam mesaĝo alvenas, la servo kaŝas la respondan sisteman sciigon. Ĝi tiam ĉerpas informojn pri la ricevita SMS el ĝi kaj transdonas ĝin al la troja elsenda ricevilo. Kiel rezulto, la uzanto ne vidas ajnajn sciigojn pri envenanta SMS kaj ne konscias pri kio okazas. Li lernas pri abono al la servo nur kiam mono komencas malaperi de lia konto, aŭ kiam li iras al la mesaĝmenuo kaj vidas SMS rilatajn al la premium-servo.
Post kiam Doctor Web-specialistoj kontaktis Guglon, la detektitaj malicaj aplikoj estis forigitaj de Google Play. Ĉiuj konataj modifoj de ĉi tiu klakilo estas sukcese detektitaj kaj forigitaj de Dr.Web kontraŭvirusaj produktoj por Android kaj tial ne prezentas minacon al niaj uzantoj.
fonto: www.habr.com