Doctor Web-ek Android aplikazioen katalogo ofizialean klikatzaile troiako bat aurkitu du, erabiltzaileak ordainpeko zerbitzuetara automatikoki harpidetzeko gai dena. Birusen analistek programa gaizto honen hainbat aldaketa identifikatu dituzte, izenekoa , ΠΈ . Haien benetako helburua ezkutatzeko eta troiakoa hautemateko probabilitatea murrizteko, erasotzaileek hainbat teknika erabili zituzten.
Lehenik eta behin, klikatzaileak eraiki zituzten aplikazio inozoetan βkamerak eta irudi bildumakβ nahi zituzten funtzioak betetzen zituztenak. Ondorioz, ez zegoen arrazoi argirik erabiltzaileek eta informazioaren segurtasuneko profesionalek mehatxu gisa ikusteko.
Bigarrenik, malware guztia Jiagu pakete komertzialek babestuta zegoen, eta horrek zaildu egiten du birusen aurkako detekzioa eta kodearen azterketa zailtzen du. Modu honetan, troiarrak Google Play direktorioaren babesarekin detektatzeko aukera gehiago izan zuen.
Hirugarrenik, birusen idazleak Troiako publizitate eta analitiko liburutegi ezagunez mozorrotzen saiatu ziren. Eramaile-programetan gehitu ondoren, Facebook eta Adjust-en dauden SDK-etan eraiki zen, haien osagaien artean ezkutatuta.
Horrez gain, klikatzaileak selektiboan erasotzen zien erabiltzaileei: ez zuen ekintza kaltegarririk egiten biktima potentziala erasotzaileen intereseko herrialdeetako batean bizi ez bazen.
Jarraian troiako bat txertatuta duten aplikazioen adibideak daude:
Klikgailua instalatu eta abiarazi ondoren (aurrerantzean, haren aldaketa adibide gisa erabiliko da ) sistema eragilearen jakinarazpenetara sartzen saiatzen da eskaera hau erakutsiz:
Erabiltzaileak beharrezko baimenak ematea onartzen badu, Troiakoak sarrerako SMSei buruzko jakinarazpen guztiak ezkutatu eta mezuen testuak atzeman ahal izango ditu.
Ondoren, klikatzaileak kutsatutako gailuari buruzko datu teknikoak igortzen ditu kontrol zerbitzariari eta biktimaren SIM txartelaren serie-zenbakia egiaztatzen du. Helburuko herrialdeetako batekin bat badator, harekin lotutako telefono-zenbakiari buruzko informazioa bidaltzen dio zerbitzariari. Aldi berean, klikatzaileak zenbait herrialdetako erabiltzaileei phishing leiho bat erakusten die, non zenbaki bat sartzeko edo Google kontuan saioa hasteko eskatzen dieten:
Biktimaren SIM txartela erasotzaileen intereseko herrialdekoa ez bada, Troiakoak ez du inolako neurririk hartzen eta bere jarduera asmo txarrekoa gelditzen du. Klikaren aldaketek ikertutako herrialdeetako biztanleei erasotzen diete:
- ΠΠ²ΡΡΡΠΈΡ
- Italia
- France
- Thailandia
- ΠΠ°Π»Π°ΠΉΠ·ΠΈΡ
- Alemania
- ΠΠ°ΡΠ°Ρ
- Polonia
- Grezia
- Irlanda
Zenbakiaren informazioa transmititu ondoren kudeaketa zerbitzariaren aginduen zain dago. Zereginak bidaltzen ditu Troiakora, webguneen helbideak deskargatzeko eta JavaScript formatuan kodetzeko. Kode hau klikatzailea JavascriptInterface bidez kontrolatzeko erabiltzen da, pop-up mezuak gailuan bistaratzeko, klikak egiteko web orrietan eta beste ekintza batzuk.
Gunearen helbidea jasota, WebView ikusezin batean irekitzen du, non aurrez onartutako JavaScript kliketarako parametroekin ere kargatzen den. Premium zerbitzu batekin webgune bat ireki ondoren, Troiakoak automatikoki klik egiten ditu beharrezko estekak eta botoiak. Ondoren, egiaztapen-kodeak jasotzen ditu SMSetatik eta modu independentean harpidetza berresten du.
Klikak SMSekin lan egiteko eta mezuetara sartzeko funtzioa ez duen arren, muga hori gainditzen du. Honela doa. Troiako zerbitzuak aplikazioaren jakinarazpenak kontrolatzen ditu, lehenespenez SMSekin lan egiteko esleituta dagoena. Mezu bat iristen denean, zerbitzuak dagokion sistemaren jakinarazpena ezkutatzen du. Ondoren, jasotako SMSari buruzko informazioa ateratzen du bertatik eta Troiako difusio-hartzailera transmititzen du. Ondorioz, erabiltzaileak ez du sarrerako SMSei buruzko jakinarazpenik ikusten eta ez du gertatzen ari denaz jabetzen. Zerbitzura harpidetzeari buruz bere kontutik dirua desagertzen hasten denean bakarrik ikasten du, edo mezuen menura joan eta premium zerbitzuarekin lotutako SMSak ikusten dituenean.
Doctor Web-eko espezialistak Googlerekin harremanetan jarri ondoren, atzemandako aplikazio gaiztoak Google Play-tik kendu ziren. Clicker honen aldaketa ezagun guztiak ongi detektatu eta kentzen dituzte Dr.Web birusen aurkako produktuek Android-erako eta, beraz, ez dute mehatxurik sortzen gure erabiltzaileentzat.
Iturria: www.habr.com