Doctor Web a découvert dans le catalogue officiel des applications Android un cheval de Troie clicker capable d'abonner automatiquement les utilisateurs à des services payants. Les analystes de virus ont identifié plusieurs modifications de ce programme malveillant, appelé , и . Pour cacher leur véritable objectif et également réduire la probabilité de détection du cheval de Troie, les attaquants ont utilisé plusieurs techniques.
D'abord, ils ont intégré des cliqueurs dans des applications inoffensives (caméras et collections d'images) qui remplissaient les fonctions prévues. En conséquence, il n’y avait aucune raison claire pour que les utilisateurs et les professionnels de la sécurité de l’information les considèrent comme une menace.
deuxièmement, tous les logiciels malveillants étaient protégés par le packager commercial Jiagu, ce qui complique la détection par les antivirus et l'analyse du code. De cette façon, le cheval de Troie avait plus de chances d'éviter d'être détecté par la protection intégrée du répertoire Google Play.
troisièmement, les auteurs de virus ont tenté de déguiser le cheval de Troie en bibliothèques publicitaires et analytiques bien connues. Une fois ajouté aux programmes de l'opérateur, il a été intégré aux SDK existants de Facebook et d'Adjust, caché parmi leurs composants.
De plus, le clicker a attaqué les utilisateurs de manière sélective : il n'a effectué aucune action malveillante si la victime potentielle ne résidait pas dans l'un des pays intéressant les attaquants.
Vous trouverez ci-dessous des exemples d'applications intégrant un cheval de Troie :
Après avoir installé et lancé le clicker (ci-après, sa modification servira d'exemple ) tente d'accéder aux notifications du système d'exploitation en affichant la requête suivante :
Si l'utilisateur accepte de lui accorder les autorisations nécessaires, le cheval de Troie pourra masquer toutes les notifications concernant les SMS entrants et intercepter les textes des messages.
Ensuite, le clicker transmet les données techniques de l’appareil infecté au serveur de contrôle et vérifie le numéro de série de la carte SIM de la victime. S'il correspond à l'un des pays cibles, envoie au serveur des informations sur le numéro de téléphone qui lui est associé. Dans le même temps, le clicker affiche aux utilisateurs de certains pays une fenêtre de phishing dans laquelle ils leur demandent de saisir un numéro ou de se connecter à leur compte Google :
Si la carte SIM de la victime n’appartient pas au pays qui intéresse les attaquants, le cheval de Troie ne prend aucune mesure et arrête son activité malveillante. Les modifications recherchées du clicker attaquent les résidents des pays suivants :
- Autriche
- Italie
- France
- Thaïlande
- Malaisie
- Allemagne
- Qatar
- Pologne
- Grèce
- Irlande
Après avoir transmis les informations sur le numéro attend les commandes du serveur de gestion. Il envoie des tâches au cheval de Troie, qui contiennent les adresses de sites Web à télécharger et à coder au format JavaScript. Ce code est utilisé pour contrôler le clicker via l'interface Javascript, afficher des messages contextuels sur l'appareil, effectuer des clics sur des pages Web et d'autres actions.
Ayant reçu l'adresse du site, l'ouvre dans une WebView invisible, où le JavaScript précédemment accepté avec les paramètres de clics est également chargé. Après avoir ouvert un site Web avec un service premium, le cheval de Troie clique automatiquement sur les liens et boutons nécessaires. Ensuite, il reçoit les codes de vérification par SMS et confirme indépendamment l'abonnement.
Malgré le fait que le clicker n'a pas pour fonction de travailler avec les SMS et d'accéder aux messages, il contourne cette limitation. Ça va comme ça. Le service cheval de Troie surveille les notifications de l'application, qui est configurée par défaut pour fonctionner avec les SMS. Lorsqu'un message arrive, le service masque la notification système correspondante. Il en extrait ensuite des informations sur les SMS reçus et les transmet au récepteur de diffusion du cheval de Troie. En conséquence, l'utilisateur ne voit aucune notification concernant les SMS entrants et n'est pas au courant de ce qui se passe. Il apprend à s'abonner au service uniquement lorsque l'argent commence à disparaître de son compte, ou lorsqu'il accède au menu des messages et voit les SMS liés au service premium.
Après que les spécialistes de Doctor Web ont contacté Google, les applications malveillantes détectées ont été supprimées de Google Play. Toutes les modifications connues de ce clicker sont détectées et supprimées avec succès par les produits antivirus Dr.Web pour Android et ne représentent donc aucune menace pour nos utilisateurs.
Source: habr.com