دکتر وب یک تروجان کلیکی را در کاتالوگ رسمی برنامه های اندرویدی کشف کرده است که می تواند به طور خودکار کاربران را در خدمات پولی مشترک کند. تحلیلگران ویروس چندین تغییر از این برنامه مخرب به نام شناسایی کرده اند , и . مهاجمان برای پنهان کردن هدف واقعی خود و همچنین کاهش احتمال شناسایی تروجان، از چندین تکنیک استفاده کردند.
اولاآنها کلیککنندهها را در برنامههای بیضرر-دوربینها و مجموعههای تصاویر- ساختند که عملکردهای مورد نظر خود را انجام میدادند. در نتیجه، هیچ دلیل روشنی برای کاربران و متخصصان امنیت اطلاعات وجود نداشت که آنها را به عنوان یک تهدید ببینند.
دومین بارهمه بدافزارها توسط بستهکننده تجاری Jiagu محافظت میشد که تشخیص توسط آنتیویروسها را پیچیده میکند و تجزیه و تحلیل کد را پیچیده میکند. به این ترتیب، تروجان شانس بیشتری برای جلوگیری از شناسایی توسط محافظت داخلی دایرکتوری Google Play داشت.
ثالثاویروس نویسان سعی کردند تروجان را به عنوان کتابخانه های تبلیغاتی و تحلیلی معروف پنهان کنند. هنگامی که به برنامه های حامل اضافه شد، در SDK های موجود از فیس بوک و Adjust ساخته شد و در میان اجزای آنها پنهان شد.
علاوه بر این، کلیک کننده به طور انتخابی به کاربران حمله می کند: اگر قربانی احتمالی ساکن یکی از کشورهای مورد علاقه مهاجمان نباشد، هیچ اقدام مخربی انجام نمی دهد.
در زیر نمونه هایی از برنامه های کاربردی با تروجان تعبیه شده در آنها آورده شده است:
پس از نصب و راه اندازی کلیکگر (از این پس، اصلاح آن به عنوان مثال استفاده می شود ) با نشان دادن درخواست زیر سعی می کند به اعلان های سیستم عامل دسترسی پیدا کند:
اگر کاربر موافقت کند که مجوزهای لازم را به او اعطا کند، تروجان میتواند تمام اعلانهای پیامکهای دریافتی و رهگیری متنهای پیام را مخفی کند.
سپس، کلیک کننده داده های فنی دستگاه آلوده را به سرور کنترل منتقل می کند و شماره سریال سیم کارت قربانی را بررسی می کند. اگر با یکی از کشورهای هدف مطابقت داشته باشد، اطلاعات مربوط به شماره تلفن مرتبط با آن را به سرور ارسال می کند. در همان زمان، کلیکگر به کاربران کشورهای خاصی یک پنجره فیشینگ نشان می دهد که در آن از آنها می خواهند شماره ای وارد کنند یا به حساب Google خود وارد شوند:
اگر سیم کارت قربانی متعلق به کشور مورد نظر مهاجمان نباشد، تروجان هیچ اقدامی انجام نمی دهد و فعالیت مخرب خود را متوقف می کند. تغییرات تحقیق شده حملات کلیکی ساکنان کشورهای زیر:
- اتریش
- ایتالیا
- فرانسه
- تایلند
- مالزی
- آلمان
- قطر
- لهستان
- یونان
- ایرلند
پس از انتقال اطلاعات شماره منتظر دستورات سرور مدیریت است. این کارها را به تروجان ارسال می کند که حاوی آدرس های وب سایت ها برای دانلود و کدگذاری در قالب جاوا اسکریپت است. این کد برای کنترل کلیک کننده از طریق JavascriptInterface، نمایش پیام های پاپ آپ در دستگاه، انجام کلیک بر روی صفحات وب و سایر اقدامات استفاده می شود.
با دریافت آدرس سایت، آن را در یک WebView نامرئی باز می کند، جایی که جاوا اسکریپت پذیرفته شده قبلی با پارامترهای کلیک نیز بارگیری می شود. پس از باز کردن یک وب سایت با یک سرویس پریمیوم، تروجان به طور خودکار روی پیوندها و دکمه های لازم کلیک می کند. در مرحله بعد، او کدهای تأیید را از پیامک دریافت می کند و به طور مستقل اشتراک را تأیید می کند.
با وجود اینکه کلیک کننده عملکرد کار با اس ام اس و دسترسی به پیام ها را ندارد، این محدودیت را دور می زند. اینجوری میشه سرویس Trojan اعلانهای برنامه را نظارت میکند که به طور پیشفرض برای کار با پیامک اختصاص داده شده است. وقتی پیامی می رسد، سرویس اعلان سیستم مربوطه را پنهان می کند. سپس اطلاعات پیامک های دریافتی را از آن استخراج کرده و به گیرنده پخش تروجان ارسال می کند. در نتیجه کاربر هیچ نوتیفیکیشنی در مورد پیامک های دریافتی نمی بیند و از اتفاقی که می افتد آگاه نیست. او فقط زمانی که پول از حسابش ناپدید میشود یا وقتی به منوی پیامها میرود و پیامکهای مربوط به سرویس پریمیوم را میبیند، از اشتراک در این سرویس مطلع میشود.
پس از تماس متخصصان Doctor Web با Google، برنامه های مخرب شناسایی شده از Google Play حذف شدند. تمامی تغییرات شناخته شده این کلیکر توسط محصولات آنتی ویروس Dr.Web برای اندروید با موفقیت شناسایی و حذف می شوند و بنابراین تهدیدی برای کاربران ما ایجاد نمی کنند.
منبع: www.habr.com