Doctor Web descubriu un troiano clicker no catálogo oficial de aplicacións de Android que é capaz de subscribir automaticamente aos usuarios a servizos de pago. Os analistas de virus identificaron varias modificacións deste programa malicioso, chamado , и . Para ocultar o seu verdadeiro propósito e tamén reducir a probabilidade de detección do troiano, os atacantes utilizaron varias técnicas.
En primeiro lugar, crearon clickers en aplicacións inocuas (cámaras e coleccións de imaxes) que realizaban as funcións previstas. Como resultado, non había un motivo claro para que os usuarios e profesionais da seguridade da información os considerasen unha ameaza.
En segundo lugar, todo o malware estaba protexido polo empaquetador comercial Jiagu, o que complica a detección por parte dos antivirus e complica a análise do código. Deste xeito, o troiano tiña máis posibilidades de evitar a detección pola protección integrada do directorio de Google Play.
En terceiro lugar, os escritores de virus tentaron disfrazar o troiano de coñecidas bibliotecas publicitarias e analíticas. Unha vez engadido aos programas do operador, integrouse nos SDK existentes de Facebook e Adjust, ocultándose entre os seus compoñentes.
Ademais, o clicker atacaba aos usuarios de forma selectiva: non realizaba ningunha acción maliciosa se a posible vítima non era residente nalgún dos países de interese para os atacantes.
A continuación móstranse exemplos de aplicacións cun troiano incorporado:
Despois de instalar e lanzar o clicker (en diante, utilizarase como exemplo a súa modificación ) tenta acceder ás notificacións do sistema operativo mostrando a seguinte solicitude:
Se o usuario acepta concederlle os permisos necesarios, o troiano poderá ocultar todas as notificacións sobre SMS entrantes e interceptar os textos de mensaxes.
A continuación, o clicker transmite datos técnicos sobre o dispositivo infectado ao servidor de control e verifica o número de serie da tarxeta SIM da vítima. Se coincide cun dos países obxectivo, envía ao servidor información sobre o número de teléfono asociado a el. Ao mesmo tempo, o clic mostra aos usuarios de determinados países unha xanela de phishing na que lles solicitan que introduzan un número ou inicien sesión na súa conta de Google:
Se a tarxeta SIM da vítima non pertence ao país de interese dos atacantes, o troiano non realiza ningunha acción e detén a súa actividade maliciosa. As modificacións investigadas do click atacan aos residentes dos seguintes países:
- Austria
- Italia
- Francia
- Tailandia
- Малайзия
- Alemaña
- Qatar
- Польша
- Grecia
- Irlanda
Despois de transmitir a información do número agarda os comandos do servidor de xestión. Envía tarefas ao troiano, que conteñen os enderezos dos sitios web para descargar e codificar en formato JavaScript. Este código úsase para controlar o clicker a través da JavascriptInterface, mostrar mensaxes emerxentes no dispositivo, realizar clics en páxinas web e outras accións.
Despois de recibir o enderezo do sitio, ábreo nunha WebView invisible, onde tamén se carga o JavaScript previamente aceptado con parámetros para os clics. Despois de abrir un sitio web cun servizo premium, o troiano fai clic automaticamente nas ligazóns e botóns necesarios. A continuación, recibe códigos de verificación de SMS e confirma de forma independente a subscrición.
A pesar de que o clicker non ten a función de traballar con SMS e acceder ás mensaxes, evita esta limitación. Vai así. O servizo de Troia supervisa as notificacións da aplicación, que por defecto está asignada para traballar con SMS. Cando chega unha mensaxe, o servizo oculta a correspondente notificación do sistema. A continuación, extrae información sobre o SMS recibido e transmítea ao receptor de emisión de Troia. Como resultado, o usuario non ve ningunha notificación sobre SMS entrantes e non é consciente do que está a suceder. Aprende a subscribirse ao servizo só cando o diñeiro comeza a desaparecer da súa conta ou cando vai ao menú de mensaxes e ve SMS relacionados co servizo premium.
Despois de que os especialistas de Doctor Web contactaron con Google, as aplicacións maliciosas detectadas foron eliminadas de Google Play. Todas as modificacións coñecidas deste clic son detectadas e eliminadas con éxito polos produtos antivirus Dr.Web para Android e, polo tanto, non representan unha ameaza para os nosos usuarios.
Fonte: www.habr.com