Doctor Web malkovris klak-trojanon en la oficiala katalogo de Android-aplikoj, kiu kapablas aŭtomate aboni uzantojn al pagitaj servoj. Virusaj analizistoj identigis plurajn modifojn de ĉi tiu malica programo, nomata
Unue, ili konstruis klakilojn en senkulpajn aplikojn - fotilojn kaj bildkolektojn - kiuj plenumis siajn celitajn funkciojn. Kiel rezulto, ekzistis neniu klara kialo por uzantoj kaj informsekurecaj profesiuloj rigardi ilin kiel minacon.
Dua, ĉiuj malware estis protektitaj de la komerca Jiagu pakisto, kiu malfaciligas detekton de antivirusoj kaj malfaciligas kodan analizon. Tiel, la trojano havis pli bonan ŝancon eviti detekton per la enkonstruita protekto de la dosierujo de Google Play.
Trie, virusverkistoj provis maski la Trojanon kiel konataj reklamaj kaj analizaj bibliotekoj. Post kiam aldonita al la portantaj programoj, ĝi estis konstruita en la ekzistantajn SDK-ojn de Facebook kaj Adjust, kaŝante inter iliaj komponantoj.
Krome, la klakisto atakis uzantojn selekteme: ĝi ne faris ajnajn malicajn agojn se la ebla viktimo ne estis loĝanto de unu el la landoj de intereso por la atakantoj.
Malsupre estas ekzemploj de aplikoj kun trojano enigita en ili:
Post instalo kaj lanĉo de la klakilo (ĉi-poste, ĝia modifo estos uzata kiel ekzemplo
Se la uzanto konsentas doni al li la necesajn permesojn, la trojano povos kaŝi ĉiujn sciigojn pri alvenantaj SMS kaj kapti mesaĝajn tekstojn.
Poste, la klakilo transdonas teknikajn datumojn pri la infektita aparato al la kontrolservilo kaj kontrolas la serian numeron de la SIM-karto de la viktimo. Se ĝi kongruas kun unu el la cellandoj,
Se la SIM-karto de la viktimo ne apartenas al la lando interesata por la atakantoj, la trojano faras neniun agon kaj ĉesigas sian malican agadon. La esploritaj modifoj de la klakilo atakas loĝantojn de la sekvaj landoj:
- Aŭstrio
- Italio
- Francio
- Таиланд
- Малайзия
- Germanio
- Kataro
- Pollando
- Grekio
- Irlando
Post elsendado de la nombro-informo
Ricevinte la retejo-adreson,
Malgraŭ la fakto, ke la klakilo ne havas la funkcion labori kun SMS kaj aliri mesaĝojn, ĝi preteriras ĉi tiun limigon. Ĝi iras tiel. La troja servo kontrolas sciigojn de la aplikaĵo, kiu defaŭlte estas asignita por labori kun SMS. Kiam mesaĝo alvenas, la servo kaŝas la respondan sisteman sciigon. Ĝi tiam ĉerpas informojn pri la ricevita SMS el ĝi kaj transdonas ĝin al la troja elsenda ricevilo. Kiel rezulto, la uzanto ne vidas ajnajn sciigojn pri envenanta SMS kaj ne konscias pri kio okazas. Li lernas pri abono al la servo nur kiam mono komencas malaperi de lia konto, aŭ kiam li iras al la mesaĝmenuo kaj vidas SMS rilatajn al la premium-servo.
Post kiam Doctor Web-specialistoj kontaktis Guglon, la detektitaj malicaj aplikoj estis forigitaj de Google Play. Ĉiuj konataj modifoj de ĉi tiu klakilo estas sukcese detektitaj kaj forigitaj de Dr.Web kontraŭvirusaj produktoj por Android kaj tial ne prezentas minacon al niaj uzantoj.