Doctor Web hefur uppgötvað smelli-trójuverja í opinbera vörulistanum yfir Android forrit sem er fær um að gerast sjálfkrafa áskrifandi að gjaldskyldri þjónustu. Veirusérfræðingar hafa bent á nokkrar breytingar á þessu skaðlega forriti, sem kallast , и . Til að fela raunverulegan tilgang sinn og einnig draga úr líkum á uppgötvun Tróverjans notuðu árásarmenn nokkrar aðferðir.
Í fyrsta lagi, þeir byggðu smellitæki í saklaus forrit - myndavélar og myndasöfn - sem sinntu tilætluðum aðgerðum. Þar af leiðandi var engin skýr ástæða fyrir notendur og sérfræðinga í upplýsingaöryggi að líta á þá sem ógn.
Í öðru lagi, var allur spilliforrit varinn með Jiagu-pakkabúnaðinum í atvinnuskyni, sem flækir uppgötvun með vírusvörnum og flækir kóðagreiningu. Þannig hafði tróverjinn betri möguleika á að forðast uppgötvun með innbyggðri vernd Google Play möppunnar.
Í þriðja lagi, vírushöfundar reyndu að dulbúa Trójuverjann sem vel þekkt auglýsinga- og greiningarsöfn. Þegar það var bætt við burðarforritin var það innbyggt í núverandi SDK frá Facebook og Adjust og faldi sig meðal íhluta þeirra.
Að auki réðst klikkarinn sértækt á notendur: hann framkvæmdi engar illgjarnar aðgerðir ef hugsanlegt fórnarlamb var ekki heimilisfastur í einu af þeim löndum sem árásarmennirnir hafa áhuga á.
Hér að neðan eru dæmi um forrit með tróverji innbyggt í þau:
Eftir að smellirinn hefur verið settur upp og ræstur (hér á eftir verður breyting hans notuð sem dæmi ) reynir að fá aðgang að tilkynningum um stýrikerfi með því að sýna eftirfarandi beiðni:
Ef notandinn samþykkir að veita honum nauðsynlegar heimildir mun Tróverjinn geta falið allar tilkynningar um móttekinn SMS og stöðvað skilaboð.
Næst sendir klikkarinn tæknigögn um sýkta tækið til stjórnunarþjónsins og athugar raðnúmer SIM-korts fórnarlambsins. Ef það passar við eitt af marklöndunum, sendir þjóninum upplýsingar um símanúmerið sem tengist honum. Á sama tíma sýnir smellirinn notendum frá ákveðnum löndum vefveiðarglugga þar sem þeir biðja þá um að slá inn númer eða skrá sig inn á Google reikninginn sinn:
Ef SIM-kort fórnarlambsins tilheyrir ekki landinu sem árásarmennirnir hafa áhuga á, grípur Tróverjinn ekkert til aðgerða og hættir illgjarnri starfsemi sinni. Rannsakaðar breytingar á smellarárásinni á íbúa eftirfarandi landa:
- Austurríki
- Ítalía
- Frakkland
- thailand
- Malasía
- Þýskaland
- Katar
- poland
- Grikkland
- Írland
Eftir að hafa sent upplýsingar um númerið bíður eftir skipunum frá stjórnunarþjóninum. Það sendir verkefni til Trojan, sem innihalda heimilisföng vefsíðna til að hlaða niður og kóða á JavaScript sniði. Þessi kóði er notaður til að stjórna smellaranum í gegnum JavascriptInterface, birta sprettigluggaskilaboð á tækinu, framkvæma smelli á vefsíðum og aðrar aðgerðir.
Eftir að hafa fengið heimilisfangið, opnar það í ósýnilegu WebView, þar sem áður samþykkt JavaScript með breytum fyrir smelli er einnig hlaðið. Eftir að hafa opnað vefsíðu með úrvalsþjónustu smellir Tróverjinn sjálfkrafa á nauðsynlega tengla og hnappa. Næst fær hann staðfestingarkóða frá SMS og staðfestir sjálfstætt áskriftina.
Þrátt fyrir að smellirinn hafi ekki það hlutverk að vinna með SMS og nálgast skilaboð, þá fer hann framhjá þessari takmörkun. Þetta gengur svona. Trójuþjónustan fylgist með tilkynningum frá forritinu, sem sjálfgefið er úthlutað til að vinna með SMS. Þegar skilaboð berast felur þjónustan samsvarandi kerfistilkynningu. Það dregur síðan upplýsingar um móttekið SMS úr því og sendir það til Trójuútvarpsmóttakara. Þess vegna sér notandinn engar tilkynningar um móttekinn SMS og er ekki meðvitaður um hvað er að gerast. Hann lærir aðeins að gerast áskrifandi að þjónustunni þegar peningar fara að hverfa af reikningnum hans, eða þegar hann fer í skilaboðavalmyndina og sér SMS sem tengist úrvalsþjónustunni.
Eftir að sérfræðingar á vef Doctor höfðu samband við Google voru illgjarn forrit sem fundust fjarlægð af Google Play. Allar þekktar breytingar á þessum smelli eru greindar og fjarlægðar af Dr.Web vírusvarnarvörum fyrir Android og stafar því ekki ógn við notendur okkar.
Heimild: www.habr.com