Doctor Web je u službenom katalogu Android aplikacija otkrio trojanca klikera koji je sposoban automatski pretplatiti korisnike na plaćene usluge. Analitičari virusa identificirali su nekoliko modifikacija ovog zlonamjernog programa, tzv , и . Kako bi sakrili svoju pravu svrhu i također smanjili vjerojatnost otkrivanja Trojana, napadači su koristili nekoliko tehnika.
Prvo, ugradili su klikere u bezopasne aplikacije - kamere i zbirke slika - koje su obavljale svoje predviđene funkcije. Kao rezultat toga, nije bilo jasnog razloga da ih korisnici i stručnjaci za informacijsku sigurnost vide kao prijetnju.
drugo, sav zlonamjerni softver bio je zaštićen komercijalnim paketom Jiagu, što komplicira otkrivanje antivirusima i komplicira analizu koda. Na taj je način trojanac imao bolje šanse izbjeći otkrivanje ugrađenom zaštitom imenika Google Play.
Treće, pisci virusa pokušali su zamaskirati trojanca u poznate reklamne i analitičke biblioteke. Nakon što je dodan u programe nosača, ugrađen je u postojeće SDK-ove iz Facebooka i Adjusta, skrivajući se među njihovim komponentama.
Osim toga, kliker je selektivno napadao korisnike: nije izvodio nikakve zlonamjerne radnje ako potencijalna žrtva nije bila stanovnik jedne od zemalja od interesa za napadače.
Ispod su primjeri aplikacija u koje je ugrađen trojanac:
Nakon instaliranja i pokretanja klikera (u daljnjem tekstu, njegova izmjena će se koristiti kao primjer ) pokušava pristupiti obavijestima operativnog sustava prikazujući sljedeći zahtjev:
Ako korisnik pristane da mu se daju potrebne dozvole, trojanac će moći sakriti sve obavijesti o dolaznim SMS-ovima i presresti tekstove poruka.
Zatim kliker prenosi tehničke podatke o zaraženom uređaju na kontrolni poslužitelj i provjerava serijski broj SIM kartice žrtve. Ako se podudara s jednom od ciljanih zemalja, šalje poslužitelju podatke o telefonskom broju koji je s njim povezan. U isto vrijeme, kliker korisnicima iz određenih zemalja prikazuje prozor za krađu identiteta u kojem se od njih traži da unesu broj ili se prijave na svoj Google račun:
Ako žrtvina SIM kartica ne pripada zemlji koja je interesantna napadačima, trojanac ne poduzima ništa i zaustavlja svoju zlonamjernu aktivnost. Istraživane modifikacije klikera napadaju stanovnike sljedećih zemalja:
- Austrija
- Italija
- Francuska
- Tajland
- Malezija
- Njemačka
- Katar
- Poljska
- Grčka
- Irska
Nakon prijenosa informacije o broju čeka naredbe s poslužitelja za upravljanje. Trojancu šalje zadatke koji sadrže adrese web stranica za preuzimanje i kodiraju u JavaScript formatu. Ovaj se kod koristi za upravljanje klikerom putem JavascriptInterface, prikaz skočnih poruka na uređaju, izvođenje klikova na web stranicama i druge radnje.
Primivši adresu stranice, otvara ga u nevidljivom WebViewu, gdje se također učitava prethodno prihvaćeni JavaScript s parametrima za klikove. Nakon otvaranja web stranice s premium uslugom, trojanac automatski klikne na potrebne poveznice i gumbe. Zatim prima verifikacijske kodove iz SMS-a i samostalno potvrđuje pretplatu.
Unatoč činjenici da kliker nema funkciju rada s SMS-om i pristupa porukama, zaobilazi to ograničenje. Ide ovako. Trojanski servis prati obavijesti iz aplikacije, koja je prema zadanim postavkama dodijeljena za rad sa SMS-om. Kada stigne poruka, usluga skriva odgovarajuću obavijest sustava. Zatim iz njega izvlači informacije o primljenom SMS-u i šalje ih trojanskom prijemniku emitiranja. Kao rezultat toga, korisnik ne vidi nikakve obavijesti o dolaznim SMS-ovima i nije svjestan što se događa. Za pretplatu na uslugu sazna tek kada novac počne nestajati s njegovog računa ili kada ode u izbornik poruka i vidi SMS vezan uz premium uslugu.
Nakon što su stručnjaci Doctor Weba kontaktirali Google, otkrivene zlonamjerne aplikacije uklonjene su s Google Playa. Dr.Web antivirusni proizvodi za Android uspješno otkrivaju i uklanjaju sve poznate modifikacije ovog klikera i stoga ne predstavljaju prijetnju našim korisnicima.
Izvor: www.habr.com