Doctor Web hefur uppgötvað smelli-trójuverja í opinbera vörulistanum yfir Android forrit sem er fær um að gerast sjálfkrafa áskrifandi að gjaldskyldri þjónustu. Veirusérfræðingar hafa bent á nokkrar breytingar á þessu skaðlega forriti, sem kallast
Í fyrsta lagi, þeir byggðu smellitæki í saklaus forrit - myndavélar og myndasöfn - sem sinntu tilætluðum aðgerðum. Þar af leiðandi var engin skýr ástæða fyrir notendur og sérfræðinga í upplýsingaöryggi að líta á þá sem ógn.
Í öðru lagi, var allur spilliforrit varinn með Jiagu-pakkabúnaðinum í atvinnuskyni, sem flækir uppgötvun með vírusvörnum og flækir kóðagreiningu. Þannig hafði tróverjinn betri möguleika á að forðast uppgötvun með innbyggðri vernd Google Play möppunnar.
Í þriðja lagi, vírushöfundar reyndu að dulbúa Trójuverjann sem vel þekkt auglýsinga- og greiningarsöfn. Þegar það var bætt við burðarforritin var það innbyggt í núverandi SDK frá Facebook og Adjust og faldi sig meðal íhluta þeirra.
Að auki réðst klikkarinn sértækt á notendur: hann framkvæmdi engar illgjarnar aðgerðir ef hugsanlegt fórnarlamb var ekki heimilisfastur í einu af þeim löndum sem árásarmennirnir hafa áhuga á.
Hér að neðan eru dæmi um forrit með tróverji innbyggt í þau:
Eftir að smellirinn hefur verið settur upp og ræstur (hér á eftir verður breyting hans notuð sem dæmi
Ef notandinn samþykkir að veita honum nauðsynlegar heimildir mun Tróverjinn geta falið allar tilkynningar um móttekinn SMS og stöðvað skilaboð.
Næst sendir klikkarinn tæknigögn um sýkta tækið til stjórnunarþjónsins og athugar raðnúmer SIM-korts fórnarlambsins. Ef það passar við eitt af marklöndunum,
Ef SIM-kort fórnarlambsins tilheyrir ekki landinu sem árásarmennirnir hafa áhuga á, grípur Tróverjinn ekkert til aðgerða og hættir illgjarnri starfsemi sinni. Rannsakaðar breytingar á smellarárásinni á íbúa eftirfarandi landa:
- Austurríki
- Ítalía
- Frakkland
- thailand
- Malasía
- Þýskaland
- Katar
- poland
- Grikkland
- Írland
Eftir að hafa sent upplýsingar um númerið
Eftir að hafa fengið heimilisfangið,
Þrátt fyrir að smellirinn hafi ekki það hlutverk að vinna með SMS og nálgast skilaboð, þá fer hann framhjá þessari takmörkun. Þetta gengur svona. Trójuþjónustan fylgist með tilkynningum frá forritinu, sem sjálfgefið er úthlutað til að vinna með SMS. Þegar skilaboð berast felur þjónustan samsvarandi kerfistilkynningu. Það dregur síðan upplýsingar um móttekið SMS úr því og sendir það til Trójuútvarpsmóttakara. Þess vegna sér notandinn engar tilkynningar um móttekinn SMS og er ekki meðvitaður um hvað er að gerast. Hann lærir aðeins að gerast áskrifandi að þjónustunni þegar peningar fara að hverfa af reikningnum hans, eða þegar hann fer í skilaboðavalmyndina og sér SMS sem tengist úrvalsþjónustunni.
Eftir að sérfræðingar á vef Doctor höfðu samband við Google voru illgjarn forrit sem fundust fjarlægð af Google Play. Allar þekktar breytingar á þessum smelli eru greindar og fjarlægðar af Dr.Web vírusvarnarvörum fyrir Android og stafar því ekki ógn við notendur okkar.
Heimild: www.habr.com