Tha Doctor Web air cliogair Trojan a lorg anns a’ chatalog oifigeil de thagraidhean Android a tha comasach air luchd-cleachdaidh a chuir gu fèin-ghluasadach gu seirbheisean pàighte. Tha luchd-anailis bhìoras air grunn atharrachaidhean a chomharrachadh air a’ phrògram droch-rùnach seo, ris an canar , и . Gus an fhìor adhbhar aca fhalach agus cuideachd lughdachadh a dhèanamh air an coltas gun lorgar an Trojan, chleachd luchd-ionnsaigh grunn dhòighean.
An toiseach, thog iad cliogairean a-steach do thagraidhean neo-chiontach - camarathan agus cruinneachaidhean ìomhaighean - a choilean na gnìomhan a bha iad an dùil. Mar thoradh air an sin, cha robh adhbhar soilleir ann airson luchd-cleachdaidh agus proifeiseantaich tèarainteachd fiosrachaidh a bhith gam faicinn mar chunnart.
San dàrna àite, chaidh a h-uile malware a dhìon leis a’ phacadair malairteach Jiagu, a bhios a’ dèanamh iom-fhillte air lorg le antiviruses agus a’ dèanamh mion-sgrùdadh còd iom-fhillte. San dòigh seo, bha cothrom na b’ fheàrr aig an Trojan lorg a sheachnadh leis an dìon a bha a-staigh ann an eòlaire Google Play.
San treas àite, dh’ fheuch sgrìobhadairean bhìoras ris an Trojan a chuir am falach mar leabharlannan sanasachd is anailis ainmeil. Aon uair 's gun deach a chur ris na prògraman giùlain, chaidh a thogail a-steach do na SDKn a th' ann bho Facebook agus Adjust, a 'falach am measg nam pàirtean aca.
A bharrachd air an sin, thug an cliogair ionnsaigh air luchd-cleachdaidh gu roghnach: cha do rinn e gnìomhan droch-rùnach sam bith mura robh an neach-fulang a dh’ fhaodadh a bhith na neach-còmhnaidh ann an aon de na dùthchannan anns an robh ùidh aig an luchd-ionnsaigh.
Gu h-ìosal tha eisimpleirean de thagraidhean le Trojan freumhaichte annta:
Às deidh dhut an cliogair a chuir a-steach agus a chuir air bhog (an-dràsta, thèid an atharrachadh aige a chleachdadh mar eisimpleir ) a’ feuchainn ri fiosan siostam-obrachaidh fhaighinn le bhith a’ sealltainn an iarrtais a leanas:
Ma dh’ aontaicheas an neach-cleachdaidh na ceadan riatanach a thoirt dha, bidh e comasach don Trojan a h-uile fios a chuir am falach mu SMS a tha a ’tighinn a-steach agus teacsaichean teachdaireachd eadar-ghearradh.
An uairsin, bidh an cliogair a ’sgaoileadh dàta teignigeach mun inneal gabhaltach chun t-seirbheisiche smachd agus a’ sgrùdadh àireamh sreathach cairt SIM an neach-fulaing. Ma tha e a rèir aon de na dùthchannan targaid, a’ cur chun an fhrithealaiche fiosrachadh mun àireamh fòn a tha co-cheangailte ris. Aig an aon àm, tha an cliogair a’ sealltainn uinneag fiasgaich do luchd-cleachdaidh à dùthchannan sònraichte far an iarr iad orra àireamh a chuir a-steach no logadh a-steach don chunntas Google aca:
Mura buin cairt SIM an neach-fulaing don dùthaich anns a bheil ùidh aig an luchd-ionnsaigh, cha dèan an Trojan gnìomh sam bith agus cuiridh e stad air a ghnìomhachd droch-rùnach. Bidh na h-atharrachaidhean a chaidh a sgrùdadh air an luchd-cliogaidh a’ toirt ionnsaigh air luchd-còmhnaidh nan dùthchannan a leanas:
- an Ostair
- An Eadailt
- Fhraing
- Таиланд
- Малайзия
- a 'Ghearmailt
- Qatar
- a 'Phòlainn
- Ghrèig
- Èirinn
An dèidh a 'tar-chur an àireamh fiosrachaidh feitheamh ri òrdughan bhon t-seirbheisiche riaghlaidh. Bidh e a’ cur ghnìomhan chun Trojan, anns a bheil seòlaidhean làraich-lìn airson luchdachadh sìos agus còd ann an cruth JavaScript. Tha an còd seo air a chleachdadh gus smachd a chumail air a’ bhriogadair tron JavascriptInterface, gus teachdaireachdan pop-up a thaisbeanadh air an inneal, cliogan a dhèanamh air duilleagan lìn, agus gnìomhan eile.
An dèidh seòladh na làraich fhaighinn, ga fhosgladh ann an WebView neo-fhaicsinneach, far a bheil an JavaScript ris an deach gabhail roimhe le paramadairean airson cliogan air a luchdachadh cuideachd. Às deidh dha làrach-lìn fhosgladh le prìomh sheirbheis, cliogaidh an Trojan gu fèin-ghluasadach air na ceanglaichean agus na putanan riatanach. An uairsin, bidh e a 'faighinn còdan dearbhaidh bho SMS agus a' dearbhadh an fho-sgrìobhaidh gu neo-eisimeileach.
A dh 'aindeoin nach eil an obair aig a' bhriogadair a bhith ag obair le SMS agus a 'faighinn cothrom air teachdaireachdan, tha e a' dol seachad air a 'chuingealachadh seo. Tha e a’ dol mar seo. Bidh an t-seirbheis Trojan a’ cumail sùil air fiosan bhon tagradh, a tha gu bunaiteach air a shònrachadh airson obrachadh le SMS. Nuair a thig teachdaireachd, bidh an t-seirbheis a’ falach am fios siostam co-fhreagarrach. Bidh e an uairsin a’ toirt a-mach fiosrachadh mun SMS a fhuaireadh bhuaithe agus ga chuir chun ghlacadair craolaidh Trojan. Mar thoradh air an sin, chan eil an neach-cleachdaidh a 'faicinn fios sam bith mu SMS a tha a' tighinn a-steach agus chan eil e mothachail air na tha a 'tachairt. Bidh e ag ionnsachadh mu bhith a ’fo-sgrìobhadh don t-seirbheis a-mhàin nuair a thòisicheas airgead a’ dol à sealladh bhon chunntas aige, no nuair a thèid e chun chlàr teachdaireachdan agus a chì e SMS co-cheangailte ris a ’phrìomh sheirbheis.
Às deidh dha eòlaichean Doctor Web fios a chuir gu Google, chaidh na tagraidhean droch-rùnach a chaidh an lorg a thoirt air falbh bho Google Play. Tha a h-uile atharrachadh aithnichte den bhriogadair seo air a lorg agus air a thoirt air falbh gu soirbheachail le toraidhean anti-bhìoras Dr.Web airson Android agus mar sin chan eil iad nan cunnart don luchd-cleachdaidh againn.
Source: www.habr.com