Doctor Web ha scoperto nel catalogo ufficiale delle applicazioni Android un trojan clicker in grado di iscrivere automaticamente gli utenti a servizi a pagamento. Gli analisti dei virus hanno identificato diverse varianti di questo programma dannoso, chiamate , и . Per nascondere il loro vero scopo e ridurre al tempo stesso la probabilità di rilevamento del trojan, gli aggressori hanno utilizzato diverse tecniche.
In primo luogo, hanno incorporato i clicker in applicazioni innocue (fotocamere e raccolte di immagini) che svolgevano le funzioni previste. Di conseguenza, non vi era alcun motivo chiaro per cui gli utenti e i professionisti della sicurezza informatica li considerassero una minaccia.
In secondo luogo, tutto il malware era protetto dal packager commerciale Jiagu, che complica il rilevamento da parte degli antivirus e complica l'analisi del codice. In questo modo il trojan aveva maggiori possibilità di evitare il rilevamento tramite la protezione integrata della directory di Google Play.
In terzo luogo, gli autori di virus hanno cercato di camuffare il Trojan con note librerie pubblicitarie e analitiche. Una volta aggiunto ai programmi dell'operatore, è stato integrato negli SDK esistenti di Facebook e Adjustment, nascondendosi tra i loro componenti.
Inoltre, il clicker attaccava gli utenti in modo selettivo: non eseguiva alcuna azione dannosa se la potenziale vittima non risiedeva in uno dei paesi di interesse degli aggressori.
Di seguito sono riportati esempi di applicazioni con un Trojan incorporato al loro interno:
Dopo aver installato e avviato il clicker (di seguito, la sua modifica verrà utilizzata come esempio ) tenta di accedere alle notifiche del sistema operativo mostrando la seguente richiesta:
Se l'utente accetta di concedergli le autorizzazioni necessarie, il trojan sarà in grado di nascondere tutte le notifiche sugli SMS in arrivo e di intercettare i testi dei messaggi.
Successivamente il clicker trasmette i dati tecnici del dispositivo infetto al server di controllo e controlla il numero di serie della carta SIM della vittima. Se corrisponde a uno dei paesi di destinazione, invia al server informazioni sul numero di telefono ad esso associato. Allo stesso tempo, il clicker mostra agli utenti di determinati paesi una finestra di phishing in cui chiedono loro di inserire un numero o di accedere al proprio account Google:
Se la carta SIM della vittima non appartiene al paese di interesse degli aggressori, il trojan non intraprende alcuna azione e interrompe la sua attività dannosa. Le modifiche ricercate dell'attacco clicker residenti nei seguenti paesi:
- Austria
- Italia
- Francia
- Thailandia
- Malaysia
- Germania
- Qatar
- Polonia
- Grecia
- Irlanda
Dopo aver trasmesso le informazioni sul numero attende i comandi dal server di gestione. Invia attività al Trojan, che contengono gli indirizzi dei siti Web da scaricare e codificare in formato JavaScript. Questo codice viene utilizzato per controllare il clicker tramite JavascriptInterface, visualizzare messaggi popup sul dispositivo, eseguire clic su pagine Web e altre azioni.
Dopo aver ricevuto l'indirizzo del sito, lo apre in una WebView invisibile, dove viene caricato anche il JavaScript precedentemente accettato con parametri per i clic. Dopo aver aperto un sito Web con un servizio premium, il Trojan fa clic automaticamente sui collegamenti e sui pulsanti necessari. Successivamente, riceve i codici di verifica da SMS e conferma autonomamente l'abbonamento.
Nonostante il fatto che il clicker non abbia la funzione di lavorare con gli SMS e di accedere ai messaggi, aggira questa limitazione. Funziona così. Il servizio Trojan monitora le notifiche dell'applicazione, che per impostazione predefinita è assegnata a funzionare con gli SMS. Quando arriva un messaggio, il servizio nasconde la corrispondente notifica di sistema. Quindi estrae da esso le informazioni sugli SMS ricevuti e li trasmette al ricevitore broadcast del Trojan. Di conseguenza, l'utente non vede alcuna notifica sugli SMS in arrivo e non è consapevole di ciò che sta accadendo. Viene a conoscenza dell'abbonamento al servizio solo quando i soldi iniziano a scomparire dal suo conto, oppure quando va nel menu dei messaggi e vede gli SMS relativi al servizio premium.
Dopo che gli specialisti Doctor Web hanno contattato Google, le applicazioni dannose rilevate sono state rimosse da Google Play. Tutte le modifiche conosciute di questo clicker vengono rilevate e rimosse con successo dai prodotti antivirus Dr.Web per Android e quindi non rappresentano una minaccia per i nostri utenti.
Fonte: habr.com