Doctor Web je u službenom katalogu Android aplikacija otkrio trojanca klikera koji je sposoban automatski pretplatiti korisnike na plaćene usluge. Analitičari virusa identificirali su nekoliko modifikacija ovog zlonamjernog programa, tzv
Prvo, ugradili su klikere u bezopasne aplikacije - kamere i zbirke slika - koje su obavljale svoje predviđene funkcije. Kao rezultat toga, nije bilo jasnog razloga da ih korisnici i stručnjaci za informacijsku sigurnost vide kao prijetnju.
drugo, sav zlonamjerni softver bio je zaštićen komercijalnim paketom Jiagu, što komplicira otkrivanje antivirusima i komplicira analizu koda. Na taj je način trojanac imao bolje šanse izbjeći otkrivanje ugrađenom zaštitom imenika Google Play.
Treće, pisci virusa pokušali su zamaskirati trojanca u poznate reklamne i analitičke biblioteke. Nakon što je dodan u programe nosača, ugrađen je u postojeće SDK-ove iz Facebooka i Adjusta, skrivajući se među njihovim komponentama.
Osim toga, kliker je selektivno napadao korisnike: nije izvodio nikakve zlonamjerne radnje ako potencijalna žrtva nije bila stanovnik jedne od zemalja od interesa za napadače.
Ispod su primjeri aplikacija u koje je ugrađen trojanac:
Nakon instaliranja i pokretanja klikera (u daljnjem tekstu, njegova izmjena će se koristiti kao primjer
Ako korisnik pristane da mu se daju potrebne dozvole, trojanac će moći sakriti sve obavijesti o dolaznim SMS-ovima i presresti tekstove poruka.
Zatim kliker prenosi tehničke podatke o zaraženom uređaju na kontrolni poslužitelj i provjerava serijski broj SIM kartice žrtve. Ako se podudara s jednom od ciljanih zemalja,
Ako žrtvina SIM kartica ne pripada zemlji koja je interesantna napadačima, trojanac ne poduzima ništa i zaustavlja svoju zlonamjernu aktivnost. Istraživane modifikacije klikera napadaju stanovnike sljedećih zemalja:
- Austrija
- Italija
- Francuska
- Tajland
- Malezija
- Njemačka
- Katar
- Poljska
- Grčka
- Irska
Nakon prijenosa informacije o broju
Primivši adresu stranice,
Unatoč činjenici da kliker nema funkciju rada s SMS-om i pristupa porukama, zaobilazi to ograničenje. Ide ovako. Trojanski servis prati obavijesti iz aplikacije, koja je prema zadanim postavkama dodijeljena za rad sa SMS-om. Kada stigne poruka, usluga skriva odgovarajuću obavijest sustava. Zatim iz njega izvlači informacije o primljenom SMS-u i šalje ih trojanskom prijemniku emitiranja. Kao rezultat toga, korisnik ne vidi nikakve obavijesti o dolaznim SMS-ovima i nije svjestan što se događa. Za pretplatu na uslugu sazna tek kada novac počne nestajati s njegovog računa ili kada ode u izbornik poruka i vidi SMS vezan uz premium uslugu.
Nakon što su stručnjaci Doctor Weba kontaktirali Google, otkrivene zlonamjerne aplikacije uklonjene su s Google Playa. Dr.Web antivirusni proizvodi za Android uspješno otkrivaju i uklanjaju sve poznate modifikacije ovog klikera i stoga ne predstavljaju prijetnju našim korisnicima.
Izvor: www.habr.com