Doctor Web avastas Androidi rakenduste ametlikust kataloogist klikkeri troojalase, mis on võimeline automaatselt tellima kasutajaid tasulistele teenustele. Viiruse analüütikud on tuvastanud selle pahatahtliku programmi mitu modifikatsiooni, nn , и . Oma tegeliku eesmärgi varjamiseks ja ka trooja avastamise tõenäosuse vähendamiseks kasutasid ründajad mitmeid tehnikaid.
Esiteks, ehitasid nad klikkerid kahjututeks rakendusteks – kaamerateks ja pildikogudeks –, mis täitsid neile ettenähtud funktsioone. Seetõttu ei olnud kasutajatel ja infoturbe spetsialistidel selget põhjust neid ohuna käsitleda.
Teiseks, kogu pahavara kaitses kaubanduslik Jiagu pakendaja, mis raskendab viirusetõrje tuvastamist ja koodianalüüsi. Nii oli troojalasel parem võimalus vältida tuvastamist Google Play kataloogi sisseehitatud kaitse abil.
Kolmandaks, püüdsid viirusekirjutajad maskeerida troojat tuntud reklaami- ja analüütilisteks raamatukogudeks. Pärast kandjaprogrammidesse lisamist ehitati see Facebooki ja Adjusti olemasolevatesse SDK-desse, peites end nende komponentide hulgas.
Lisaks ründas klikker kasutajaid valikuliselt: ta ei sooritanud pahatahtlikke toiminguid, kui potentsiaalne ohver ei olnud mõne ründajatele huvipakkuva riigi elanik.
Allpool on näited rakendustest, millesse on manustatud trooja:
Pärast klikkeri installimist ja käivitamist (edaspidi kasutatakse näitena selle modifikatsiooni). ) üritab pääseda juurde operatsioonisüsteemi märguannetele, kuvades järgmise päringu:
Kui kasutaja nõustub talle vajalikke õigusi andma, saab troojalane varjata kõik teated sissetulevate SMS-ide kohta ja pealt kuulata sõnumite tekste.
Seejärel edastab klikker kontrollserverisse tehnilised andmed nakatunud seadme kohta ja kontrollib kannatanu SIM-kaardi seerianumbrit. Kui see vastab ühele sihtriigist, saadab serverisse teavet sellega seotud telefoninumbri kohta. Samal ajal näitab klikker teatud riikide kasutajatele andmepüügi akent, kus nad paluvad neil sisestada number või logida sisse oma Google'i kontole:
Kui ohvri SIM-kaart ei kuulu ründajatele huvipakkuvasse riiki, ei võta troojalane midagi ette ja peatab oma pahatahtliku tegevuse. Järgmiste riikide klikkerirünnakute elanike uuritud modifikatsioonid:
- Austria
- Itaalia
- Prantsusmaa
- Tai
- Malaisia
- Saksamaa
- Katar
- Poola
- Kreeka
- Iirimaa
Pärast numbriteabe edastamist ootab haldusserveri käske. See saadab troojalasele ülesanded, mis sisaldavad allalaaditavate veebisaitide aadresse ja JavaScripti-vormingus kodeerimist. Seda koodi kasutatakse klõpsu juhtimiseks Javascripti liidese kaudu, seadmes hüpikakende kuvamiseks, veebilehtedel klikkimiseks ja muudeks toiminguteks.
Olles saanud saidi aadressi, avab selle nähtamatus WebView's, kuhu laetakse ka varem aktsepteeritud JavaScript koos klikkide parameetritega. Pärast tasulise teenusega veebisaidi avamist klõpsab troojalane automaatselt vajalikel linkidel ja nuppudel. Järgmisena saab ta SMS-ist kinnituskoodid ja kinnitab iseseisvalt tellimuse.
Vaatamata asjaolule, et klikkeril pole SMS-iga töötamise ja sõnumitele juurdepääsu funktsiooni, läheb see sellest piirangust mööda. See käib nii. Trooja teenus jälgib rakenduse teateid, mis vaikimisi on määratud töötama SMS-iga. Sõnumi saabumisel peidab teenus vastava süsteemiteatise. Seejärel eraldab see sealt teabe vastuvõetud SMS-i kohta ja edastab selle Trooja ringhäälingu vastuvõtjale. Selle tulemusena ei näe kasutaja sissetulevate SMS-ide kohta märguandeid ega ole toimuvast teadlik. Teenuse tellimisest saab ta teada alles siis, kui kontolt hakkab raha kaduma või kui ta läheb sõnumite menüüsse ja näeb premium-teenusega seotud SMS-e.
Pärast seda, kui Doctor Web spetsialistid Google'iga ühendust võtsid, eemaldati tuvastatud pahatahtlikud rakendused Google Playst. Dr.Web Androidile mõeldud viirusetõrjetooted tuvastavad ja eemaldavad edukalt kõik selle klikkeri teadaolevad modifikatsioonid ning seetõttu ei kujuta need meie kasutajatele ohtu.
Allikas: www.habr.com