Doctor Web avastas Androidi rakenduste ametlikust kataloogist klikkeri troojalase, mis on võimeline automaatselt tellima kasutajaid tasulistele teenustele. Viiruse analüütikud on tuvastanud selle pahatahtliku programmi mitu modifikatsiooni, nn
Esiteks, ehitasid nad klikkerid kahjututeks rakendusteks – kaamerateks ja pildikogudeks –, mis täitsid neile ettenähtud funktsioone. Seetõttu ei olnud kasutajatel ja infoturbe spetsialistidel selget põhjust neid ohuna käsitleda.
Teiseks, kogu pahavara kaitses kaubanduslik Jiagu pakendaja, mis raskendab viirusetõrje tuvastamist ja koodianalüüsi. Nii oli troojalasel parem võimalus vältida tuvastamist Google Play kataloogi sisseehitatud kaitse abil.
Kolmandaks, püüdsid viirusekirjutajad maskeerida troojat tuntud reklaami- ja analüütilisteks raamatukogudeks. Pärast kandjaprogrammidesse lisamist ehitati see Facebooki ja Adjusti olemasolevatesse SDK-desse, peites end nende komponentide hulgas.
Lisaks ründas klikker kasutajaid valikuliselt: ta ei sooritanud pahatahtlikke toiminguid, kui potentsiaalne ohver ei olnud mõne ründajatele huvipakkuva riigi elanik.
Allpool on näited rakendustest, millesse on manustatud trooja:
Pärast klikkeri installimist ja käivitamist (edaspidi kasutatakse näitena selle modifikatsiooni).
Kui kasutaja nõustub talle vajalikke õigusi andma, saab troojalane varjata kõik teated sissetulevate SMS-ide kohta ja pealt kuulata sõnumite tekste.
Seejärel edastab klikker kontrollserverisse tehnilised andmed nakatunud seadme kohta ja kontrollib kannatanu SIM-kaardi seerianumbrit. Kui see vastab ühele sihtriigist,
Kui ohvri SIM-kaart ei kuulu ründajatele huvipakkuvasse riiki, ei võta troojalane midagi ette ja peatab oma pahatahtliku tegevuse. Järgmiste riikide klikkerirünnakute elanike uuritud modifikatsioonid:
- Austria
- Itaalia
- Prantsusmaa
- Tai
- Malaisia
- Saksamaa
- Katar
- Poola
- Kreeka
- Iirimaa
Pärast numbriteabe edastamist
Olles saanud saidi aadressi,
Vaatamata asjaolule, et klikkeril pole SMS-iga töötamise ja sõnumitele juurdepääsu funktsiooni, läheb see sellest piirangust mööda. See käib nii. Trooja teenus jälgib rakenduse teateid, mis vaikimisi on määratud töötama SMS-iga. Sõnumi saabumisel peidab teenus vastava süsteemiteatise. Seejärel eraldab see sealt teabe vastuvõetud SMS-i kohta ja edastab selle Trooja ringhäälingu vastuvõtjale. Selle tulemusena ei näe kasutaja sissetulevate SMS-ide kohta märguandeid ega ole toimuvast teadlik. Teenuse tellimisest saab ta teada alles siis, kui kontolt hakkab raha kaduma või kui ta läheb sõnumite menüüsse ja näeb premium-teenusega seotud SMS-e.
Pärast seda, kui Doctor Web spetsialistid Google'iga ühendust võtsid, eemaldati tuvastatud pahatahtlikud rakendused Google Playst. Dr.Web Androidile mõeldud viirusetõrjetooted tuvastavad ja eemaldavad edukalt kõik selle klikkeri teadaolevad modifikatsioonid ning seetõttu ei kujuta need meie kasutajatele ohtu.
Allikas: www.habr.com