Doctor Web hat in klikker Trojan ûntdutsen yn 'e offisjele katalogus fan Android-applikaasjes dy't brûkers automatysk kinne abonnearje op betelle tsjinsten. Virus analysts hawwe identifisearre ferskate oanpassings fan dizze malware, neamd , и . Om har wiere doel te ferbergjen, en ek de kâns te ferminderjen fan it ûntdekken fan in Trojan, brûkten de oanfallers ferskate trúkjes.
Earst, se bouden klikkers yn harmless applikaasjes - kamera's en byldkolleksjes - dy't de opeaske funksjes útfierden. As gefolch wie d'r gjin dúdlike reden foar brûkers en professionals foar ynformaasjefeiligens om se as in bedriging te sjen.
Twad, waarden alle kweade programma's beskerme troch de Jiagu kommersjele packer, dy't deteksje troch antyvirusen dreger makket en koade-analyze dreger. Sa hie de Trojan mear kânsen om deteksje te foarkommen troch de ynboude beskerming fan 'e Google Play-katalogus.
Tredde, firusskriuwers besochten de Trojan te ferklaaien as bekende reklame- en analytyske bibleteken. Ienris tafoege oan de dragerprogramma's, waard it ynbêde yn 'e SDK's fan Facebook en Adjust dy't yn har oanwêzich wiene, ferburgen ûnder har komponinten.
Derneist foel de klikker brûkers selektyf oan: it die gjin kweade aksjes út as it potinsjele slachtoffer gjin ynwenner wie fan ien fan 'e lannen fan belang foar de oanfallers.
De folgjende binne foarbylden fan applikaasjes mei in Trojan ynbêde yn har:
Nei it ynstallearjen en lansearjen fan de klikker (hjirnei sil syn wiziging wurde brûkt as foarbyld ) besiket tagong te krijen ta notifikaasjes fan bestjoeringssysteem troch it werjaan fan de folgjende prompt:
As de brûker ynstimt om him de nedige tagongsrjochten te jaan, sil de Trojan alle ynkommende SMS-notifikaasjes kinne ferbergje en tekstberjochten ûnderskeppe.
Dêrnei stjoert de klikker technyske gegevens oer it ynfekteare apparaat nei de kontrôletsjinner en kontrolearret it serialnûmer fan 'e SIM-kaart fan it slachtoffer. As it oerienkomt mei ien fan 'e doellannen, stjoert ynformaasje oer it telefoannûmer dat dêrmei ferbûn is nei de tsjinner. Tagelyk toant de klikker in phishing-finster foar brûkers út bepaalde lannen, wêr't it har freget om sels in nûmer yn te fieren of oan te melden by in Google-akkount:
As de SIM-kaart fan it slachtoffer net heart by it lân fan belang foar de oanfallers, nimt de Trojan gjin aksje en stopet syn kweade aktiviteit. Undersochte klikkermodifikaasjes oanfalle ynwenners fan 'e folgjende steaten:
- Eastenryk
- Itaalje
- Frankryk
- Таиланд
- Малайзия
- Dútslân
- Katar
- Poalen
- Grikelân
- Ierlân
Nei it oerdragen fan ynformaasje oer it nûmer wachtet op in kommando fan de kontrôle tsjinner. It stjoert taken nei de Trojan, dy't websideadressen befetsje om te downloaden en JavaScript-koade. Dizze koade wurdt brûkt om de klikker te kontrolearjen fia de JavascriptInterface-ynterface, pop-upberjochten op it apparaat werjaan, klikken op websiden en oare aksjes útfiere.
Nei it ûntfangen fan it sideadres, iepenet it yn in ûnsichtbere WebView, wêr't it earder akseptearre JavaScript mei parameters foar klikken ek wurdt laden. Nei it iepenjen fan in side mei in premium tsjinst, klikt de Trojan automatysk op de nedige keppelings en knoppen. Dan ûntfangt hy ferifikaasjekoades fan SMS en befêstiget it abonnemint selsstannich.
Nettsjinsteande it feit dat de klikker net de funksje hat om te wurkjen mei SMS en tagong te krijen ta berjochten, giet it om dizze beheining. It bart op de folgjende wize. De Trojan-tsjinst kontrolearret notifikaasjes fan in applikaasje dy't standert is tawiisd om te wurkjen mei SMS. As in berjocht oankomt, ferberget de tsjinst de korrespondearjende systeemnotifikaasje. It ekstrakt dan ynformaasje oer it ûntfongen SMS derút en stjoert it nei de Trojaanske útstjoerûntfanger. As gefolch, de brûker sjocht gjin notifikaasjes oer ynkommende SMS en wit net oer wat der bart. Hy sil allinich leare oer it abonnemint op 'e tsjinst as it jild begjint te ferdwinen fan syn akkount, of as hy it berjochtmenu yngiet en SMS sjocht relatearre oan de premium tsjinst.
Neidat Doctor Web-spesjalisten kontakten mei Google, waarden de ûntdutsen kweade applikaasjes fuortsmiten fan Google Play. Alle bekende oanpassings fan dizze klikker wurde mei súkses ûntdutsen en fuortsmiten troch Dr.Web anty-firus produkten foar Android en dus gjin bedriging foar ús brûkers.
Boarne: www.habr.com