Doctor Web telah menemukan Trojan clicker di katalog resmi aplikasi Android yang mampu secara otomatis membuat pengguna berlangganan layanan berbayar. Analis virus telah mengidentifikasi beberapa modifikasi dari program jahat ini, yang disebut
Pertama, mereka membuat clicker ke dalam aplikasi yang tidak berbahaya—kamera dan koleksi gambar—yang menjalankan fungsi yang diinginkan. Akibatnya, tidak ada alasan yang jelas bagi pengguna dan profesional keamanan informasi untuk memandang mereka sebagai ancaman.
Kedua, semua malware dilindungi oleh paket komersial Jiagu, yang mempersulit pendeteksian oleh antivirus dan mempersulit analisis kode. Dengan cara ini, Trojan memiliki peluang lebih besar untuk menghindari deteksi oleh perlindungan bawaan direktori Google Play.
Ketiga, penulis virus mencoba menyamarkan Trojan sebagai perpustakaan periklanan dan analitik terkenal. Setelah ditambahkan ke program operator, program ini dimasukkan ke dalam SDK yang sudah ada dari Facebook dan Adjust, dan bersembunyi di antara komponen-komponennya.
Selain itu, clicker menyerang pengguna secara selektif: ia tidak melakukan tindakan jahat apa pun jika calon korbannya bukan penduduk salah satu negara yang menjadi kepentingan penyerang.
Di bawah ini adalah contoh aplikasi yang tertanam Trojan di dalamnya:
Setelah menginstal dan meluncurkan clicker (selanjutnya modifikasinya akan digunakan sebagai contoh
Jika pengguna setuju untuk memberinya izin yang diperlukan, Trojan akan dapat menyembunyikan semua pemberitahuan tentang SMS masuk dan mencegat teks pesan.
Selanjutnya, clicker mengirimkan data teknis tentang perangkat yang terinfeksi ke server kontrol dan memeriksa nomor seri kartu SIM korban. Jika cocok dengan salah satu negara target,
Jika kartu SIM korban bukan milik negara yang menjadi tujuan penyerang, Trojan tidak akan mengambil tindakan apa pun dan menghentikan aktivitas jahatnya. Modifikasi serangan clicker yang diteliti penduduk negara-negara berikut:
- Austria
- Italia
- Perancis
- Thailand
- Malaysia
- Jerman
- Qatar
- Polandia
- Yunani
- Irlandia
Setelah mengirimkan informasi nomor
Setelah menerima alamat situs,
Terlepas dari kenyataan bahwa clicker tidak memiliki fungsi untuk bekerja dengan SMS dan mengakses pesan, clicker melewati batasan ini. Bunyinya seperti ini. Layanan Trojan memonitor notifikasi dari aplikasi, yang secara default ditetapkan untuk bekerja dengan SMS. Saat pesan masuk, layanan menyembunyikan pemberitahuan sistem terkait. Kemudian mengekstrak informasi tentang SMS yang diterima dan mengirimkannya ke penerima siaran Trojan. Akibatnya, pengguna tidak melihat notifikasi apapun tentang SMS yang masuk dan tidak mengetahui apa yang terjadi. Dia belajar tentang berlangganan layanan hanya ketika uang mulai hilang dari rekeningnya, atau ketika dia membuka menu pesan dan melihat SMS terkait dengan layanan premium.
Setelah spesialis Doctor Web menghubungi Google, aplikasi berbahaya yang terdeteksi telah dihapus dari Google Play. Semua modifikasi yang diketahui dari clicker ini berhasil dideteksi dan dihapus oleh produk anti-virus Dr.Web untuk Android dan oleh karena itu tidak menimbulkan ancaman bagi pengguna kami.
Sumber: www.habr.com