Doctor Web on löytänyt Android-sovellusten virallisesta luettelosta klikkaustroijalaisen, joka pystyy tilaamaan käyttäjiä automaattisesti maksullisiin palveluihin. Virusanalyytikot ovat tunnistaneet useita tämän haittaohjelman muunnelmia, joita kutsutaan nimellä , и . Hyökkääjät käyttivät useita tekniikoita piilottaakseen todellisen tarkoituksensa ja vähentääkseen troijalaisen havaitsemisen todennäköisyyttä.
Ensiksi, he rakensivat napsauttimia harmittomiksi sovelluksiksi – kameroiksi ja kuvakokoelmiksi – jotka suorittivat niille aiotut tehtävät. Tämän seurauksena käyttäjillä ja tietoturva-alan ammattilaisilla ei ollut selkeää syytä pitää niitä uhkana.
Toiseksi, kaikki haittaohjelmat suojattiin kaupallisella Jiagu-pakkaajalla, mikä vaikeuttaa virustorjuntaohjelmien havaitsemista ja koodin analysointia. Tällä tavalla troijalaisella oli paremmat mahdollisuudet välttää Google Play -hakemiston sisäänrakennetun suojauksen havaitseminen.
Kolmanneksi, viruskirjoittajat yrittivät naamioida troijalaisen tunnetuiksi mainos- ja analyyttisiksi kirjastoiksi. Kun se lisättiin operaattoriohjelmiin, se sisältyi olemassa oleviin Facebookin ja Adjustin SDK:ihin piiloutuen niiden komponenttien joukkoon.
Lisäksi napsautuskone hyökkäsi käyttäjiin valikoivasti: se ei suorittanut haitallisia toimia, jos mahdollinen uhri ei asunut jossain hyökkääjiä kiinnostavassa maassa.
Alla on esimerkkejä sovelluksista, joihin on upotettu troijalainen:
Napsautuksen asennuksen ja käynnistämisen jälkeen (jäljempänä sen muunnelmaa käytetään esimerkkinä ) yrittää päästä käyttöjärjestelmän ilmoituksiin näyttämällä seuraavan pyynnön:
Jos käyttäjä suostuu myöntämään hänelle tarvittavat luvat, troijalainen voi piilottaa kaikki ilmoitukset saapuvista tekstiviesteistä ja siepata viestitekstejä.
Seuraavaksi napsauttaja välittää tartunnan saaneen laitteen tekniset tiedot valvontapalvelimelle ja tarkistaa uhrin SIM-kortin sarjanumeron. Jos se vastaa jotakin kohdemaata, lähettää palvelimelle tiedot siihen liittyvästä puhelinnumerosta. Samaan aikaan napsauttaja näyttää tietyistä maista tuleville käyttäjille tietojenkalasteluikkunan, jossa he pyytävät syöttämään numeron tai kirjautumaan sisään Google-tililleen:
Jos uhrin SIM-kortti ei kuulu hyökkääjiä kiinnostavaan maahan, troijalainen ei ryhdy toimenpiteisiin ja lopettaa haitallisen toimintansa. Tutkitut muutokset napsautushyökkäysten asukkaisiin seuraavissa maissa:
- Itävalta
- Italia
- Ranska
- Thaimaa
- Malesia
- Saksa
- Qatar
- Puola
- Kreikka
- Irlanti
Numerotietojen lähettämisen jälkeen odottaa komentoja hallintapalvelimelta. Se lähettää troijalaiselle tehtäviä, jotka sisältävät ladattavien ja koodattavien verkkosivustojen osoitteet JavaScript-muodossa. Tätä koodia käytetään ohjaamaan napsautusta JavascriptInterfacen kautta, näyttämään ponnahdusviestejä laitteella, suorittamaan napsautuksia verkkosivuilla ja muita toimintoja.
Saatuaan sivuston osoitteen, avaa sen näkymättömässä WebView'ssa, johon ladataan myös aiemmin hyväksytty JavaScript napsautusparametreineen. Avattuaan premium-palvelun sisältävän verkkosivuston troijalainen napsauttaa automaattisesti tarvittavia linkkejä ja painikkeita. Seuraavaksi hän saa vahvistuskoodit tekstiviestistä ja vahvistaa tilauksen itsenäisesti.
Huolimatta siitä, että napsauttimella ei ole tekstiviestien käsittelyä ja viestien käyttöä, se ohittaa tämän rajoituksen. Se menee näin. Troijalainen palvelu valvoo sovelluksen ilmoituksia, jotka oletuksena on määritetty toimimaan tekstiviestien kanssa. Kun viesti saapuu, palvelu piilottaa vastaavan järjestelmäilmoituksen. Sitten se poimii siitä tiedot vastaanotetuista tekstiviesteistä ja lähettää ne troijalaisen lähetysvastaanottimelle. Tämän seurauksena käyttäjä ei näe ilmoituksia saapuvista tekstiviesteistä eikä ole tietoinen siitä, mitä tapahtuu. Hän saa tiedon palvelun tilaamisesta vasta, kun tililtä alkaa kadota rahaa tai kun hän siirtyy viestivalikkoon ja näkee premium-palveluun liittyviä tekstiviestejä.
Kun Doctor Web -asiantuntijat ottivat yhteyttä Googleen, havaitut haitalliset sovellukset poistettiin Google Playsta. Dr.Web Android-virustorjuntatuotteet havaitsevat ja poistavat kaikki tämän napsautuksen tunnetut muutokset, eivätkä ne siksi aiheuta uhkaa käyttäjillemme.
Lähde: will.com