Doctor Web a découvert dans le catalogue officiel des applications Android un cheval de Troie clicker capable d'abonner automatiquement les utilisateurs à des services payants. Les analystes de virus ont identifié plusieurs modifications de ce programme malveillant, appelé
D'abord, ils ont intégré des cliqueurs dans des applications inoffensives (caméras et collections d'images) qui remplissaient les fonctions prévues. En conséquence, il n’y avait aucune raison claire pour que les utilisateurs et les professionnels de la sécurité de l’information les considèrent comme une menace.
deuxièmement, tous les logiciels malveillants étaient protégés par le packager commercial Jiagu, ce qui complique la détection par les antivirus et l'analyse du code. De cette façon, le cheval de Troie avait plus de chances d'éviter d'être détecté par la protection intégrée du répertoire Google Play.
troisièmement, les auteurs de virus ont tenté de déguiser le cheval de Troie en bibliothèques publicitaires et analytiques bien connues. Une fois ajouté aux programmes de l'opérateur, il a été intégré aux SDK existants de Facebook et d'Adjust, caché parmi leurs composants.
De plus, le clicker a attaqué les utilisateurs de manière sélective : il n'a effectué aucune action malveillante si la victime potentielle ne résidait pas dans l'un des pays intéressant les attaquants.
Vous trouverez ci-dessous des exemples d'applications intégrant un cheval de Troie :
Après avoir installé et lancé le clicker (ci-après, sa modification servira d'exemple
Si l'utilisateur accepte de lui accorder les autorisations nécessaires, le cheval de Troie pourra masquer toutes les notifications concernant les SMS entrants et intercepter les textes des messages.
Ensuite, le clicker transmet les données techniques de l’appareil infecté au serveur de contrôle et vérifie le numéro de série de la carte SIM de la victime. S'il correspond à l'un des pays cibles,
Si la carte SIM de la victime n’appartient pas au pays qui intéresse les attaquants, le cheval de Troie ne prend aucune mesure et arrête son activité malveillante. Les modifications recherchées du clicker attaquent les résidents des pays suivants :
- Autriche
- Italie
- France
- Thaïlande
- Malaisie
- Allemagne
- Qatar
- Pologne
- Grèce
- Irlande
Après avoir transmis les informations sur le numéro
Ayant reçu l'adresse du site,
Malgré le fait que le clicker n'a pas pour fonction de travailler avec les SMS et d'accéder aux messages, il contourne cette limitation. Ça va comme ça. Le service cheval de Troie surveille les notifications de l'application, qui est configurée par défaut pour fonctionner avec les SMS. Lorsqu'un message arrive, le service masque la notification système correspondante. Il en extrait ensuite des informations sur les SMS reçus et les transmet au récepteur de diffusion du cheval de Troie. En conséquence, l'utilisateur ne voit aucune notification concernant les SMS entrants et n'est pas au courant de ce qui se passe. Il apprend à s'abonner au service uniquement lorsque l'argent commence à disparaître de son compte, ou lorsqu'il accède au menu des messages et voit les SMS liés au service premium.
Après que les spécialistes de Doctor Web ont contacté Google, les applications malveillantes détectées ont été supprimées de Google Play. Toutes les modifications connues de ce clicker sont détectées et supprimées avec succès par les produits antivirus Dr.Web pour Android et ne représentent donc aucune menace pour nos utilisateurs.
Source: habr.com