Doctor Web-ek Android aplikazioen katalogo ofizialean klikatzaile troiako bat aurkitu du, erabiltzaileak ordainpeko zerbitzuetara automatikoki harpidetzeko gai dena. Birusen analistek programa gaizto honen hainbat aldaketa identifikatu dituzte, izenekoa
Lehenik eta behin, klikatzaileak eraiki zituzten aplikazio inozoetan βkamerak eta irudi bildumakβ nahi zituzten funtzioak betetzen zituztenak. Ondorioz, ez zegoen arrazoi argirik erabiltzaileek eta informazioaren segurtasuneko profesionalek mehatxu gisa ikusteko.
Bigarrenik, malware guztia Jiagu pakete komertzialek babestuta zegoen, eta horrek zaildu egiten du birusen aurkako detekzioa eta kodearen azterketa zailtzen du. Modu honetan, troiarrak Google Play direktorioaren babesarekin detektatzeko aukera gehiago izan zuen.
Hirugarrenik, birusen idazleak Troiako publizitate eta analitiko liburutegi ezagunez mozorrotzen saiatu ziren. Eramaile-programetan gehitu ondoren, Facebook eta Adjust-en dauden SDK-etan eraiki zen, haien osagaien artean ezkutatuta.
Horrez gain, klikatzaileak selektiboan erasotzen zien erabiltzaileei: ez zuen ekintza kaltegarririk egiten biktima potentziala erasotzaileen intereseko herrialdeetako batean bizi ez bazen.
Jarraian troiako bat txertatuta duten aplikazioen adibideak daude:
Klikgailua instalatu eta abiarazi ondoren (aurrerantzean, haren aldaketa adibide gisa erabiliko da
Erabiltzaileak beharrezko baimenak ematea onartzen badu, Troiakoak sarrerako SMSei buruzko jakinarazpen guztiak ezkutatu eta mezuen testuak atzeman ahal izango ditu.
Ondoren, klikatzaileak kutsatutako gailuari buruzko datu teknikoak igortzen ditu kontrol zerbitzariari eta biktimaren SIM txartelaren serie-zenbakia egiaztatzen du. Helburuko herrialdeetako batekin bat badator,
Biktimaren SIM txartela erasotzaileen intereseko herrialdekoa ez bada, Troiakoak ez du inolako neurririk hartzen eta bere jarduera asmo txarrekoa gelditzen du. Klikaren aldaketek ikertutako herrialdeetako biztanleei erasotzen diete:
- ΠΠ²ΡΡΡΠΈΡ
- Italia
- France
- Thailandia
- ΠΠ°Π»Π°ΠΉΠ·ΠΈΡ
- Alemania
- ΠΠ°ΡΠ°Ρ
- Polonia
- Grezia
- Irlanda
Zenbakiaren informazioa transmititu ondoren
Gunearen helbidea jasota,
Klikak SMSekin lan egiteko eta mezuetara sartzeko funtzioa ez duen arren, muga hori gainditzen du. Honela doa. Troiako zerbitzuak aplikazioaren jakinarazpenak kontrolatzen ditu, lehenespenez SMSekin lan egiteko esleituta dagoena. Mezu bat iristen denean, zerbitzuak dagokion sistemaren jakinarazpena ezkutatzen du. Ondoren, jasotako SMSari buruzko informazioa ateratzen du bertatik eta Troiako difusio-hartzailera transmititzen du. Ondorioz, erabiltzaileak ez du sarrerako SMSei buruzko jakinarazpenik ikusten eta ez du gertatzen ari denaz jabetzen. Zerbitzura harpidetzeari buruz bere kontutik dirua desagertzen hasten denean bakarrik ikasten du, edo mezuen menura joan eta premium zerbitzuarekin lotutako SMSak ikusten dituenean.
Doctor Web-eko espezialistak Googlerekin harremanetan jarri ondoren, atzemandako aplikazio gaiztoak Google Play-tik kendu ziren. Clicker honen aldaketa ezagun guztiak ongi detektatu eta kentzen dituzte Dr.Web birusen aurkako produktuek Android-erako eta, beraz, ez dute mehatxurik sortzen gure erabiltzaileentzat.
Iturria: www.habr.com