Tvrtka Doctor Web pronađena u službenom katalogu Android-Trojanske kliker aplikacije koje mogu automatski pretplatiti korisnike na plaćene usluge. Analitičari virusa identificirali su nekoliko modifikacija ovog zlonamjernog softvera, nazvanih , и Kako bi prikrili svoju pravu svrhu i smanjili vjerojatnost otkrivanja, napadači su koristili nekoliko tehnika.
PrvoUgradili su kliker u bezopasne aplikacije - kamere i kolekcije slika - koje su obavljale svoje predviđene funkcije. Kao rezultat toga, korisnici i stručnjaci za informacijsku sigurnost nisu imali očigledan razlog smatrati ih prijetnjom.
drugoSav zlonamjerni softver bio je zaštićen komercijalnim Jiagu packerom, koji ometa antivirusno otkrivanje i analizu koda. To je trojancu dalo veću šansu da izbjegne otkrivanje ugrađenom zaštitom Google Playa.
Treće, autori zlonamjernog softvera pokušali su prikriti trojanca kao dobro poznate biblioteke za analitiku oglašavanja. Nakon što bi se dodao u glavne programe, integrirao bi se u Facebook i Adjust SDK-ove prisutne u njima, skrivajući se među njihovim komponentama.
Nadalje, kliker je selektivno ciljao korisnike: nije izvodio nikakve zlonamjerne radnje osim ako potencijalna žrtva nije bila stanovnik jedne od zemalja od interesa za napadače.
U nastavku su navedeni primjeri aplikacija s ugrađenim trojancem:
Nakon instalacije i pokretanja klikera (od sada će se njegova modifikacija koristiti kao primjer) ) pokušava pristupiti obavijestima operativnog sustava prikazivanjem sljedećeg zahtjeva:
Ako korisnik pristane dati mu potrebna dopuštenja, trojanac će moći sakriti sve dolazne SMS obavijesti i presresti tekstualne poruke.
Kliker zatim prenosi tehničke podatke o zaraženom uređaju na komandni i kontrolni poslužitelj i provjerava serijski broj SIM kartice žrtve. Ako se podudara s jednom od ciljanih zemalja, Kliker šalje podatke o telefonskom broju koji je s njim povezan na poslužitelj. Korisnicima u određenim zemljama zatim se prikazuje prozor za krađu identiteta u kojem se od njih traži da sami unesu broj ili se prijave na svoj Google račun:
Ako SIM kartica žrtve nije iz zemlje koja zanima napadače, trojanac ne poduzima ništa i prekida svoju zlonamjernu aktivnost. Proučavane modifikacije klikera ciljaju stanovnike sljedećih zemalja:
- Austrija
- Italija
- Francuska
- Tajland
- Malezija
- Njemačka
- Katar
- Poljska
- Grčka
- Irska
Nakon prijenosa informacija o broju Čeka naredbe od poslužitelja za upravljanje i kontrolu. Poslužitelj šalje trojancu naredbe koje sadrže adrese web stranica za učitavanje i JavaScript kod. Ovaj se kod koristi za upravljanje klikerom putem JavascriptInterface sučelja, prikaz skočnih poruka na uređaju, klikanje na web stranice i izvođenje drugih radnji.
Nakon što smo dobili adresu web stranice, Otvara ga u nevidljivom WebViewu, gdje se također učitava prethodno primljeni JavaScript s parametrima klika. Nakon otvaranja web stranice premium usluge, trojanac automatski klikne na potrebne poveznice i gumbe. Zatim prima verifikacijske kodove putem SMS-a i automatski potvrđuje pretplatu.
Iako kliker nema SMS funkcionalnost i pristup porukama, zaobilazi ovo ograničenje. To čini na sljedeći način. Trojanski servis prati obavijesti iz aplikacije koja je prema zadanim postavkama dodijeljena SMS-u. Kada stigne poruka, servis skriva odgovarajuću sistemsku obavijest. Zatim iz nje izvlači informacije o primljenom SMS-u i prenosi ih trojanskom prijemniku emitiranja. Kao rezultat toga, korisnik ne vidi nikakve obavijesti o dolaznim SMS porukama i nije svjestan operacije. Saznaje za pretplatu tek kada sredstva počnu nestajati s njegovog računa ili kada pristupi izborniku poruka i vidi SMS poruke povezane s premium uslugom.
Nakon zahtjeva stručnjaka tvrtke Doctor Web upućenog Googleu, otkrivene zlonamjerne aplikacije uklonjene su s Google Playa. Sve poznate modifikacije ovog klikera uspješno su otkrivene i uklonjene pomoću antivirusnih proizvoda tvrtke Dr.Web. Android i stoga ne predstavljaju prijetnju našim korisnicima.
Izvor: www.habr.com
