دکتر وب یک تروجان کلیکی را در کاتالوگ رسمی برنامه های اندرویدی کشف کرده است که می تواند به طور خودکار کاربران را در خدمات پولی مشترک کند. تحلیلگران ویروس چندین تغییر از این برنامه مخرب به نام شناسایی کرده اند
اولاآنها کلیککنندهها را در برنامههای بیضرر-دوربینها و مجموعههای تصاویر- ساختند که عملکردهای مورد نظر خود را انجام میدادند. در نتیجه، هیچ دلیل روشنی برای کاربران و متخصصان امنیت اطلاعات وجود نداشت که آنها را به عنوان یک تهدید ببینند.
دومین بارهمه بدافزارها توسط بستهکننده تجاری Jiagu محافظت میشد که تشخیص توسط آنتیویروسها را پیچیده میکند و تجزیه و تحلیل کد را پیچیده میکند. به این ترتیب، تروجان شانس بیشتری برای جلوگیری از شناسایی توسط محافظت داخلی دایرکتوری Google Play داشت.
ثالثاویروس نویسان سعی کردند تروجان را به عنوان کتابخانه های تبلیغاتی و تحلیلی معروف پنهان کنند. هنگامی که به برنامه های حامل اضافه شد، در SDK های موجود از فیس بوک و Adjust ساخته شد و در میان اجزای آنها پنهان شد.
علاوه بر این، کلیک کننده به طور انتخابی به کاربران حمله می کند: اگر قربانی احتمالی ساکن یکی از کشورهای مورد علاقه مهاجمان نباشد، هیچ اقدام مخربی انجام نمی دهد.
در زیر نمونه هایی از برنامه های کاربردی با تروجان تعبیه شده در آنها آورده شده است:
پس از نصب و راه اندازی کلیکگر (از این پس، اصلاح آن به عنوان مثال استفاده می شود
اگر کاربر موافقت کند که مجوزهای لازم را به او اعطا کند، تروجان میتواند تمام اعلانهای پیامکهای دریافتی و رهگیری متنهای پیام را مخفی کند.
سپس، کلیک کننده داده های فنی دستگاه آلوده را به سرور کنترل منتقل می کند و شماره سریال سیم کارت قربانی را بررسی می کند. اگر با یکی از کشورهای هدف مطابقت داشته باشد،
اگر سیم کارت قربانی متعلق به کشور مورد نظر مهاجمان نباشد، تروجان هیچ اقدامی انجام نمی دهد و فعالیت مخرب خود را متوقف می کند. تغییرات تحقیق شده حملات کلیکی ساکنان کشورهای زیر:
- اتریش
- ایتالیا
- فرانسه
- تایلند
- مالزی
- آلمان
- قطر
- لهستان
- یونان
- ایرلند
پس از انتقال اطلاعات شماره
با دریافت آدرس سایت،
با وجود اینکه کلیک کننده عملکرد کار با اس ام اس و دسترسی به پیام ها را ندارد، این محدودیت را دور می زند. اینجوری میشه سرویس Trojan اعلانهای برنامه را نظارت میکند که به طور پیشفرض برای کار با پیامک اختصاص داده شده است. وقتی پیامی می رسد، سرویس اعلان سیستم مربوطه را پنهان می کند. سپس اطلاعات پیامک های دریافتی را از آن استخراج کرده و به گیرنده پخش تروجان ارسال می کند. در نتیجه کاربر هیچ نوتیفیکیشنی در مورد پیامک های دریافتی نمی بیند و از اتفاقی که می افتد آگاه نیست. او فقط زمانی که پول از حسابش ناپدید میشود یا وقتی به منوی پیامها میرود و پیامکهای مربوط به سرویس پریمیوم را میبیند، از اشتراک در این سرویس مطلع میشود.
پس از تماس متخصصان Doctor Web با Google، برنامه های مخرب شناسایی شده از Google Play حذف شدند. تمامی تغییرات شناخته شده این کلیکر توسط محصولات آنتی ویروس Dr.Web برای اندروید با موفقیت شناسایی و حذف می شوند و بنابراین تهدیدی برای کاربران ما ایجاد نمی کنند.
منبع: www.habr.com