Doctor Web ha descubierto en el catálogo oficial de aplicaciones de Android un troyano clicker que es capaz de suscribir automáticamente a los usuarios a servicios de pago. Los analistas de virus han identificado varias modificaciones de este programa malicioso, llamado
Primero, incorporaron clickers en aplicaciones inocuas (cámaras y colecciones de imágenes) que realizaban las funciones previstas. Como resultado, no había ninguna razón clara para que los usuarios y los profesionales de seguridad de la información los vieran como una amenaza.
En segundo lugar, todo el malware estaba protegido por el empaquetador comercial Jiagu, lo que complica la detección por parte de los antivirus y complica el análisis del código. De esta manera, el troyano tenía más posibilidades de evitar la detección por parte de la protección integrada del directorio de Google Play.
En tercer lugar, los creadores de virus intentaron disfrazar el troyano como bibliotecas analíticas y publicitarias conocidas. Una vez agregado a los programas del operador, se integró en los SDK existentes de Facebook y Ajustar, ocultándose entre sus componentes.
Además, el clicker atacó a los usuarios de forma selectiva: no realizó ninguna acción maliciosa si la víctima potencial no era residente de uno de los países de interés para los atacantes.
A continuación se muestran ejemplos de aplicaciones con un troyano integrado:
Después de instalar e iniciar el clicker (en adelante, su modificación se utilizará como ejemplo
Si el usuario acepta concederle los permisos necesarios, el troyano podrá ocultar todas las notificaciones sobre SMS entrantes e interceptar mensajes de texto.
A continuación, el clicker transmite datos técnicos sobre el dispositivo infectado al servidor de control y comprueba el número de serie de la tarjeta SIM de la víctima. Si coincide con uno de los países de destino,
Si la tarjeta SIM de la víctima no pertenece al país de interés de los atacantes, el troyano no realiza ninguna acción y detiene su actividad maliciosa. Las modificaciones investigadas del clicker atacan a residentes de los siguientes países:
- Austria
- Italia
- Francia
- Tailandia
- Malasia
- Alemania
- Katar
- Polonia
- Grecia
- Irlanda
Después de transmitir la información del número.
Habiendo recibido la dirección del sitio,
A pesar de que el clicker no tiene la función de trabajar con SMS y acceder a mensajes, evita esta limitación. Dice así. El servicio troyano monitorea las notificaciones de la aplicación, que de forma predeterminada está asignada para funcionar con SMS. Cuando llega un mensaje, el servicio oculta la notificación del sistema correspondiente. Luego extrae información sobre el SMS recibido y la transmite al receptor de difusión troyano. Como resultado, el usuario no ve ninguna notificación sobre SMS entrantes y no se da cuenta de lo que está sucediendo. Se entera de cómo suscribirse al servicio solo cuando el dinero comienza a desaparecer de su cuenta o cuando va al menú de mensajes y ve SMS relacionados con el servicio premium.
Después de que los especialistas de Doctor Web contactaron con Google, las aplicaciones maliciosas detectadas fueron eliminadas de Google Play. Todas las modificaciones conocidas de este clicker son detectadas y eliminadas exitosamente por los productos antivirus Dr.Web para Android y por lo tanto no representan una amenaza para nuestros usuarios.
Fuente: habr.com