Doctor Web descubriu un troiano clicker no catálogo oficial de aplicacións de Android que é capaz de subscribir automaticamente aos usuarios a servizos de pago. Os analistas de virus identificaron varias modificacións deste programa malicioso, chamado
En primeiro lugar, crearon clickers en aplicacións inocuas (cámaras e coleccións de imaxes) que realizaban as funcións previstas. Como resultado, non había un motivo claro para que os usuarios e profesionais da seguridade da información os considerasen unha ameaza.
En segundo lugar, todo o malware estaba protexido polo empaquetador comercial Jiagu, o que complica a detección por parte dos antivirus e complica a análise do código. Deste xeito, o troiano tiña máis posibilidades de evitar a detección pola protección integrada do directorio de Google Play.
En terceiro lugar, os escritores de virus tentaron disfrazar o troiano de coñecidas bibliotecas publicitarias e analíticas. Unha vez engadido aos programas do operador, integrouse nos SDK existentes de Facebook e Adjust, ocultándose entre os seus compoñentes.
Ademais, o clicker atacaba aos usuarios de forma selectiva: non realizaba ningunha acción maliciosa se a posible vítima non era residente nalgún dos países de interese para os atacantes.
A continuación móstranse exemplos de aplicacións cun troiano incorporado:
Despois de instalar e lanzar o clicker (en diante, utilizarase como exemplo a súa modificación
Se o usuario acepta concederlle os permisos necesarios, o troiano poderá ocultar todas as notificacións sobre SMS entrantes e interceptar os textos de mensaxes.
A continuación, o clicker transmite datos técnicos sobre o dispositivo infectado ao servidor de control e verifica o número de serie da tarxeta SIM da vítima. Se coincide cun dos países obxectivo,
Se a tarxeta SIM da vítima non pertence ao país de interese dos atacantes, o troiano non realiza ningunha acción e detén a súa actividade maliciosa. As modificacións investigadas do click atacan aos residentes dos seguintes países:
- Austria
- Italia
- Francia
- Tailandia
- Малайзия
- Alemaña
- Qatar
- Польша
- Grecia
- Irlanda
Despois de transmitir a información do número
Despois de recibir o enderezo do sitio,
A pesar de que o clicker non ten a función de traballar con SMS e acceder ás mensaxes, evita esta limitación. Vai así. O servizo de Troia supervisa as notificacións da aplicación, que por defecto está asignada para traballar con SMS. Cando chega unha mensaxe, o servizo oculta a correspondente notificación do sistema. A continuación, extrae información sobre o SMS recibido e transmítea ao receptor de emisión de Troia. Como resultado, o usuario non ve ningunha notificación sobre SMS entrantes e non é consciente do que está a suceder. Aprende a subscribirse ao servizo só cando o diñeiro comeza a desaparecer da súa conta ou cando vai ao menú de mensaxes e ve SMS relacionados co servizo premium.
Despois de que os especialistas de Doctor Web contactaron con Google, as aplicacións maliciosas detectadas foron eliminadas de Google Play. Todas as modificacións coñecidas deste clic son detectadas e eliminadas con éxito polos produtos antivirus Dr.Web para Android e, polo tanto, non representan unha ameaza para os nosos usuarios.
Fonte: www.habr.com