Doctor Web ha descubierto en el catálogo oficial de aplicaciones de Android un troyano clicker que es capaz de suscribir automáticamente a los usuarios a servicios de pago. Los analistas de virus han identificado varias modificaciones de este programa malicioso, llamado , и . Para ocultar su verdadero propósito y también reducir la probabilidad de detección del troyano, los atacantes utilizaron varias técnicas.
Primero, incorporaron clickers en aplicaciones inocuas (cámaras y colecciones de imágenes) que realizaban las funciones previstas. Como resultado, no había ninguna razón clara para que los usuarios y los profesionales de seguridad de la información los vieran como una amenaza.
En segundo lugar, todo el malware estaba protegido por el empaquetador comercial Jiagu, lo que complica la detección por parte de los antivirus y complica el análisis del código. De esta manera, el troyano tenía más posibilidades de evitar la detección por parte de la protección integrada del directorio de Google Play.
En tercer lugar, los creadores de virus intentaron disfrazar el troyano como bibliotecas analíticas y publicitarias conocidas. Una vez agregado a los programas del operador, se integró en los SDK existentes de Facebook y Ajustar, ocultándose entre sus componentes.
Además, el clicker atacó a los usuarios de forma selectiva: no realizó ninguna acción maliciosa si la víctima potencial no era residente de uno de los países de interés para los atacantes.
A continuación se muestran ejemplos de aplicaciones con un troyano integrado:
Después de instalar e iniciar el clicker (en adelante, su modificación se utilizará como ejemplo ) intenta acceder a las notificaciones del sistema operativo mostrando la siguiente solicitud:
Si el usuario acepta concederle los permisos necesarios, el troyano podrá ocultar todas las notificaciones sobre SMS entrantes e interceptar mensajes de texto.
A continuación, el clicker transmite datos técnicos sobre el dispositivo infectado al servidor de control y comprueba el número de serie de la tarjeta SIM de la víctima. Si coincide con uno de los países de destino, envía al servidor información sobre el número de teléfono asociado a él. Al mismo tiempo, el clicker muestra a los usuarios de ciertos países una ventana de phishing donde les piden que ingresen un número o inicien sesión en su cuenta de Google:
Si la tarjeta SIM de la víctima no pertenece al país de interés de los atacantes, el troyano no realiza ninguna acción y detiene su actividad maliciosa. Las modificaciones investigadas del clicker atacan a residentes de los siguientes países:
- Austria
- Italia
- Francia
- Tailandia
- Malasia
- Alemania
- Katar
- Polonia
- Grecia
- Irlanda
Después de transmitir la información del número. espera comandos del servidor de administración. Envía tareas al troyano, que contienen las direcciones de sitios web para descargar y codificar en formato JavaScript. Este código se utiliza para controlar el clicker a través de la interfaz Javascript, mostrar mensajes emergentes en el dispositivo, realizar clics en páginas web y otras acciones.
Habiendo recibido la dirección del sitio, lo abre en un WebView invisible, donde también se carga el JavaScript previamente aceptado con parámetros para clics. Después de abrir un sitio web con un servicio premium, el troyano hace clic automáticamente en los enlaces y botones necesarios. A continuación, recibe códigos de verificación por SMS y confirma la suscripción de forma independiente.
A pesar de que el clicker no tiene la función de trabajar con SMS y acceder a mensajes, evita esta limitación. Dice así. El servicio troyano monitorea las notificaciones de la aplicación, que de forma predeterminada está asignada para funcionar con SMS. Cuando llega un mensaje, el servicio oculta la notificación del sistema correspondiente. Luego extrae información sobre el SMS recibido y la transmite al receptor de difusión troyano. Como resultado, el usuario no ve ninguna notificación sobre SMS entrantes y no se da cuenta de lo que está sucediendo. Se entera de cómo suscribirse al servicio solo cuando el dinero comienza a desaparecer de su cuenta o cuando va al menú de mensajes y ve SMS relacionados con el servicio premium.
Después de que los especialistas de Doctor Web contactaron con Google, las aplicaciones maliciosas detectadas fueron eliminadas de Google Play. Todas las modificaciones conocidas de este clicker son detectadas y eliminadas exitosamente por los productos antivirus Dr.Web para Android y por lo tanto no representan una amenaza para nuestros usuarios.
Fuente: habr.com