Doctor Web on löytänyt Android-sovellusten virallisesta luettelosta klikkaustroijalaisen, joka pystyy tilaamaan käyttäjiä automaattisesti maksullisiin palveluihin. Virusanalyytikot ovat tunnistaneet useita tämän haittaohjelman muunnelmia, joita kutsutaan nimellä
Ensiksi, he rakensivat napsauttimia harmittomiksi sovelluksiksi – kameroiksi ja kuvakokoelmiksi – jotka suorittivat niille aiotut tehtävät. Tämän seurauksena käyttäjillä ja tietoturva-alan ammattilaisilla ei ollut selkeää syytä pitää niitä uhkana.
Toiseksi, kaikki haittaohjelmat suojattiin kaupallisella Jiagu-pakkaajalla, mikä vaikeuttaa virustorjuntaohjelmien havaitsemista ja koodin analysointia. Tällä tavalla troijalaisella oli paremmat mahdollisuudet välttää Google Play -hakemiston sisäänrakennetun suojauksen havaitseminen.
Kolmanneksi, viruskirjoittajat yrittivät naamioida troijalaisen tunnetuiksi mainos- ja analyyttisiksi kirjastoiksi. Kun se lisättiin operaattoriohjelmiin, se sisältyi olemassa oleviin Facebookin ja Adjustin SDK:ihin piiloutuen niiden komponenttien joukkoon.
Lisäksi napsautuskone hyökkäsi käyttäjiin valikoivasti: se ei suorittanut haitallisia toimia, jos mahdollinen uhri ei asunut jossain hyökkääjiä kiinnostavassa maassa.
Alla on esimerkkejä sovelluksista, joihin on upotettu troijalainen:
Napsautuksen asennuksen ja käynnistämisen jälkeen (jäljempänä sen muunnelmaa käytetään esimerkkinä
Jos käyttäjä suostuu myöntämään hänelle tarvittavat luvat, troijalainen voi piilottaa kaikki ilmoitukset saapuvista tekstiviesteistä ja siepata viestitekstejä.
Seuraavaksi napsauttaja välittää tartunnan saaneen laitteen tekniset tiedot valvontapalvelimelle ja tarkistaa uhrin SIM-kortin sarjanumeron. Jos se vastaa jotakin kohdemaata,
Jos uhrin SIM-kortti ei kuulu hyökkääjiä kiinnostavaan maahan, troijalainen ei ryhdy toimenpiteisiin ja lopettaa haitallisen toimintansa. Tutkitut muutokset napsautushyökkäysten asukkaisiin seuraavissa maissa:
- Itävalta
- Italia
- Ranska
- Thaimaa
- Malesia
- Saksa
- Qatar
- Puola
- Kreikka
- Irlanti
Numerotietojen lähettämisen jälkeen
Saatuaan sivuston osoitteen,
Huolimatta siitä, että napsauttimella ei ole tekstiviestien käsittelyä ja viestien käyttöä, se ohittaa tämän rajoituksen. Se menee näin. Troijalainen palvelu valvoo sovelluksen ilmoituksia, jotka oletuksena on määritetty toimimaan tekstiviestien kanssa. Kun viesti saapuu, palvelu piilottaa vastaavan järjestelmäilmoituksen. Sitten se poimii siitä tiedot vastaanotetuista tekstiviesteistä ja lähettää ne troijalaisen lähetysvastaanottimelle. Tämän seurauksena käyttäjä ei näe ilmoituksia saapuvista tekstiviesteistä eikä ole tietoinen siitä, mitä tapahtuu. Hän saa tiedon palvelun tilaamisesta vasta, kun tililtä alkaa kadota rahaa tai kun hän siirtyy viestivalikkoon ja näkee premium-palveluun liittyviä tekstiviestejä.
Kun Doctor Web -asiantuntijat ottivat yhteyttä Googleen, havaitut haitalliset sovellukset poistettiin Google Playsta. Dr.Web Android-virustorjuntatuotteet havaitsevat ja poistavat kaikki tämän napsautuksen tunnetut muutokset, eivätkä ne siksi aiheuta uhkaa käyttäjillemme.