Doctor Web telah menemukan Trojan clicker di katalog resmi aplikasi Android yang mampu secara otomatis membuat pengguna berlangganan layanan berbayar. Analis virus telah mengidentifikasi beberapa modifikasi dari program jahat ini, yang disebut , и . Untuk menyembunyikan tujuan sebenarnya dan juga mengurangi kemungkinan terdeteksinya Trojan, penyerang menggunakan beberapa teknik.
Pertama, mereka membuat clicker ke dalam aplikasi yang tidak berbahaya—kamera dan koleksi gambar—yang menjalankan fungsi yang diinginkan. Akibatnya, tidak ada alasan yang jelas bagi pengguna dan profesional keamanan informasi untuk memandang mereka sebagai ancaman.
Kedua, semua malware dilindungi oleh paket komersial Jiagu, yang mempersulit pendeteksian oleh antivirus dan mempersulit analisis kode. Dengan cara ini, Trojan memiliki peluang lebih besar untuk menghindari deteksi oleh perlindungan bawaan direktori Google Play.
Ketiga, penulis virus mencoba menyamarkan Trojan sebagai perpustakaan periklanan dan analitik terkenal. Setelah ditambahkan ke program operator, program ini dimasukkan ke dalam SDK yang sudah ada dari Facebook dan Adjust, dan bersembunyi di antara komponen-komponennya.
Selain itu, clicker menyerang pengguna secara selektif: ia tidak melakukan tindakan jahat apa pun jika calon korbannya bukan penduduk salah satu negara yang menjadi kepentingan penyerang.
Di bawah ini adalah contoh aplikasi yang tertanam Trojan di dalamnya:
Setelah menginstal dan meluncurkan clicker (selanjutnya modifikasinya akan digunakan sebagai contoh ) mencoba mengakses notifikasi sistem operasi dengan menampilkan permintaan berikut:
Jika pengguna setuju untuk memberinya izin yang diperlukan, Trojan akan dapat menyembunyikan semua pemberitahuan tentang SMS masuk dan mencegat teks pesan.
Selanjutnya, clicker mengirimkan data teknis tentang perangkat yang terinfeksi ke server kontrol dan memeriksa nomor seri kartu SIM korban. Jika cocok dengan salah satu negara target, mengirimkan ke server informasi tentang nomor telepon yang terkait dengannya. Pada saat yang sama, clicker menunjukkan jendela phishing kepada pengguna dari negara tertentu di mana mereka meminta mereka memasukkan nomor atau masuk ke akun Google mereka:
Jika kartu SIM korban bukan milik negara yang menjadi tujuan penyerang, Trojan tidak akan mengambil tindakan apa pun dan menghentikan aktivitas jahatnya. Modifikasi serangan clicker yang diteliti penduduk negara-negara berikut:
- Austria
- Italia
- Perancis
- Thailand
- Malaysia
- Jerman
- Qatar
- Polandia
- Yunani
- Irlandia
Setelah mengirimkan informasi nomor menunggu perintah dari server manajemen. Ia mengirimkan tugas ke Trojan, yang berisi alamat situs web untuk diunduh dan kode dalam format JavaScript. Kode ini digunakan untuk mengontrol clicker melalui JavascriptInterface, menampilkan pesan pop-up di perangkat, melakukan klik pada halaman web, dan tindakan lainnya.
Setelah menerima alamat situs, membukanya di WebView yang tidak terlihat, di mana JavaScript yang diterima sebelumnya dengan parameter klik juga dimuat. Setelah membuka situs web dengan layanan premium, Trojan secara otomatis mengklik tautan dan tombol yang diperlukan. Selanjutnya, dia menerima kode verifikasi dari SMS dan secara mandiri mengonfirmasi langganannya.
Terlepas dari kenyataan bahwa clicker tidak memiliki fungsi untuk bekerja dengan SMS dan mengakses pesan, clicker melewati batasan ini. Bunyinya seperti ini. Layanan Trojan memonitor notifikasi dari aplikasi, yang secara default ditetapkan untuk bekerja dengan SMS. Saat pesan masuk, layanan menyembunyikan pemberitahuan sistem terkait. Kemudian mengekstrak informasi tentang SMS yang diterima dan mengirimkannya ke penerima siaran Trojan. Akibatnya, pengguna tidak melihat notifikasi apapun tentang SMS yang masuk dan tidak mengetahui apa yang terjadi. Dia belajar tentang berlangganan layanan hanya ketika uang mulai hilang dari rekeningnya, atau ketika dia membuka menu pesan dan melihat SMS terkait dengan layanan premium.
Setelah spesialis Doctor Web menghubungi Google, aplikasi berbahaya yang terdeteksi telah dihapus dari Google Play. Semua modifikasi yang diketahui dari clicker ini berhasil dideteksi dan dihapus oleh produk anti-virus Dr.Web untuk Android dan oleh karena itu tidak menimbulkan ancaman bagi pengguna kami.
Sumber: www.habr.com