Doctor Web hat in klikker Trojan ûntdutsen yn 'e offisjele katalogus fan Android-applikaasjes dy't brûkers automatysk kinne abonnearje op betelle tsjinsten. Virus analysts hawwe identifisearre ferskate oanpassings fan dizze malware, neamd
Earst, se bouden klikkers yn harmless applikaasjes - kamera's en byldkolleksjes - dy't de opeaske funksjes útfierden. As gefolch wie d'r gjin dúdlike reden foar brûkers en professionals foar ynformaasjefeiligens om se as in bedriging te sjen.
Twad, waarden alle kweade programma's beskerme troch de Jiagu kommersjele packer, dy't deteksje troch antyvirusen dreger makket en koade-analyze dreger. Sa hie de Trojan mear kânsen om deteksje te foarkommen troch de ynboude beskerming fan 'e Google Play-katalogus.
Tredde, firusskriuwers besochten de Trojan te ferklaaien as bekende reklame- en analytyske bibleteken. Ienris tafoege oan de dragerprogramma's, waard it ynbêde yn 'e SDK's fan Facebook en Adjust dy't yn har oanwêzich wiene, ferburgen ûnder har komponinten.
Derneist foel de klikker brûkers selektyf oan: it die gjin kweade aksjes út as it potinsjele slachtoffer gjin ynwenner wie fan ien fan 'e lannen fan belang foar de oanfallers.
De folgjende binne foarbylden fan applikaasjes mei in Trojan ynbêde yn har:
Nei it ynstallearjen en lansearjen fan de klikker (hjirnei sil syn wiziging wurde brûkt as foarbyld
As de brûker ynstimt om him de nedige tagongsrjochten te jaan, sil de Trojan alle ynkommende SMS-notifikaasjes kinne ferbergje en tekstberjochten ûnderskeppe.
Dêrnei stjoert de klikker technyske gegevens oer it ynfekteare apparaat nei de kontrôletsjinner en kontrolearret it serialnûmer fan 'e SIM-kaart fan it slachtoffer. As it oerienkomt mei ien fan 'e doellannen,
As de SIM-kaart fan it slachtoffer net heart by it lân fan belang foar de oanfallers, nimt de Trojan gjin aksje en stopet syn kweade aktiviteit. Undersochte klikkermodifikaasjes oanfalle ynwenners fan 'e folgjende steaten:
- Eastenryk
- Itaalje
- Frankryk
- Таиланд
- Малайзия
- Dútslân
- Katar
- Poalen
- Grikelân
- Ierlân
Nei it oerdragen fan ynformaasje oer it nûmer
Nei it ûntfangen fan it sideadres,
Nettsjinsteande it feit dat de klikker net de funksje hat om te wurkjen mei SMS en tagong te krijen ta berjochten, giet it om dizze beheining. It bart op de folgjende wize. De Trojan-tsjinst kontrolearret notifikaasjes fan in applikaasje dy't standert is tawiisd om te wurkjen mei SMS. As in berjocht oankomt, ferberget de tsjinst de korrespondearjende systeemnotifikaasje. It ekstrakt dan ynformaasje oer it ûntfongen SMS derút en stjoert it nei de Trojaanske útstjoerûntfanger. As gefolch, de brûker sjocht gjin notifikaasjes oer ynkommende SMS en wit net oer wat der bart. Hy sil allinich leare oer it abonnemint op 'e tsjinst as it jild begjint te ferdwinen fan syn akkount, of as hy it berjochtmenu yngiet en SMS sjocht relatearre oan de premium tsjinst.
Neidat Doctor Web-spesjalisten kontakten mei Google, waarden de ûntdutsen kweade applikaasjes fuortsmiten fan Google Play. Alle bekende oanpassings fan dizze klikker wurde mei súkses ûntdutsen en fuortsmiten troch Dr.Web anty-firus produkten foar Android en dus gjin bedriging foar ús brûkers.
Boarne: www.habr.com