Doctor Web te dekouvri yon Trojan clicker nan katalòg ofisyèl aplikasyon android ki kapab otomatikman abònman itilizatè yo nan sèvis peye. Analis viris yo te idantifye plizyè modifikasyon nan pwogram sa a move, ki rele , и . Pou kache vrè objektif yo epi tou redwi chans pou deteksyon Trojan a, atakè yo te itilize plizyè teknik.
Premyerman, yo te konstwi clickers nan aplikasyon inoffensif-kamera ak koleksyon imaj-ki fè fonksyon yo gen entansyon. Kòm yon rezilta, pa te gen okenn rezon klè pou itilizatè yo ak pwofesyonèl sekirite enfòmasyon yo wè yo kòm yon menas.
Dezyèmman, tout malveyan te pwoteje pa pake komèsyal Jiagu, ki konplike deteksyon pa antiviris ak konplike analiz kòd. Nan fason sa a, Trojan a te gen yon pi bon chans pou evite deteksyon pa pwoteksyon entegre nan anyè Google Play la.
Twazyèmman, ekriven viris yo te eseye degize Trojan a kòm byen li te ye piblisite ak bibliyotèk analyse. Apre yo te ajoute nan pwogram konpayi asirans yo, li te bati nan SDK yo soti nan Facebook ak Ajiste prezan nan yo, kache nan mitan eleman yo.
Anplis de sa, clicker la te atake itilizatè yo selektivman: li pa t 'fè okenn aksyon move si viktim nan potansyèl pa t' yon rezidan nan youn nan peyi ki enterese atakè yo.
Anba a se egzanp aplikasyon ki gen yon Trojan entegre nan yo:
Apre enstale ak lanse clicker la (apwe sa, modifikasyon li yo pral itilize kòm yon egzanp ) eseye jwenn aksè nan notifikasyon sistèm operasyon yo lè li montre demann sa a:
Si itilizatè a dakò bay li otorizasyon ki nesesè yo, Trojan a pral kapab kache tout notifikasyon sou SMS fèk ap rantre ak entèsepte tèks mesaj.
Apre sa, clicker la transmèt done teknik sou aparèy ki enfekte a nan sèvè kontwòl la epi tcheke nimewo seri kat SIM viktim nan. Si li matche ak youn nan peyi sib yo, voye enfòmasyon sou sèvè a sou nimewo telefòn ki asosye ak li. An menm tan an, klikè a montre itilizatè ki soti nan sèten peyi yon fenèt èskrokri kote yo mande yo antre yon nimewo oswa konekte nan kont Google yo:
Si kat SIM viktim nan pa fè pati peyi ki enterese atakè yo, Trojan a pa pran okenn aksyon epi sispann aktivite move li yo. Modifikasyon rechèch yo nan clicker atak moun ki abite nan peyi sa yo:
- Австрия
- Itali
- Frans
- Таиланд
- Малайзия
- Almay
- Катар
- Polòy
- Grès
- Iland
Apre transmèt enfòmasyon nimewo a tann kòmandman ki soti nan sèvè jesyon an. Li voye travay bay Trojan a, ki gen adrès sit entènèt pou telechaje ak kòd nan fòma JavaScript. Kòd sa a itilize pou kontwole clicker la atravè JavascriptInterface, montre mesaj pop-up sou aparèy la, fè klik sou paj entènèt, ak lòt aksyon.
Lè w fin resevwa adrès sit la, ouvri li nan yon WebView envizib, kote JavaScript te deja aksepte ak paramèt pou klik tou chaje. Apre ou fin louvri yon sit entènèt ak yon sèvis prim, Trojan a otomatikman klike sou lyen ak bouton ki nesesè yo. Apre sa, li resevwa kòd verifikasyon nan SMS ak poukont li konfime abònman an.
Malgre lefèt ke clicker la pa gen fonksyon pou travay ak SMS ak aksè mesaj, li kontoune limit sa a. Li ale tankou sa a. Sèvis Trojan monitè notifikasyon ki soti nan aplikasyon an, ki pa default asiyen nan travay ak SMS. Lè yon mesaj rive, sèvis la kache notifikasyon sistèm korespondan an. Lè sa a, li ekstrè enfòmasyon sou SMS yo resevwa nan men li epi li transmèt li nan reseptè a emisyon Trojan. Kòm yon rezilta, itilizatè a pa wè okenn notifikasyon sou SMS fèk ap rantre epi li pa okouran de sa k ap pase. Li aprann sou abònman nan sèvis la sèlman lè lajan kòmanse disparèt nan kont li, oswa lè li ale nan meni an mesaj epi li wè SMS ki gen rapò ak sèvis la prim.
Apre espesyalis Doktè Web yo te kontakte Google, aplikasyon move detekte yo te retire nan Google Play. Tout modifikasyon li te ye nan clicker sa a avèk siksè detekte epi retire pa pwodwi anti-viris Dr.Web pou Android epi kidonk pa reprezante yon menas pou itilizatè nou yo.
Sous: www.habr.com