Doctor Web は、Android アプリケーションの公式カタログで、ユーザーを自動的に有料サービスに登録できるクリッカー型トロイの木馬を発見しました。 ウイルスアナリストは、この悪意のあるプログラムのいくつかの変更を特定しました。
まず第一に彼らは、意図した機能を実行する無害なアプリケーション (カメラや画像コレクション) にクリッカーを組み込みました。 その結果、ユーザーや情報セキュリティ専門家がそれらを脅威とみなす明確な理由はありませんでした。
第二に、すべてのマルウェアは商用の Jiagu パッケージャーによって保護されていたため、ウイルス対策による検出が複雑になり、コード分析が複雑になりました。 このようにして、トロイの木馬は、Google Play ディレクトリの組み込み保護による検出を回避する可能性が高くなります。
第3に、ウイルス作成者は、トロイの木馬を有名な広告および分析ライブラリとして偽装しようとしました。 携帯通信会社のプログラムに追加されると、Facebook と Adjust の既存の SDK に組み込まれ、それらのコンポーネントの中に隠れていました。
さらに、クリッカーはユーザーを選択的に攻撃します。潜在的な被害者が攻撃者にとって関心のある国の居住者でない場合、悪意のあるアクションは実行しませんでした。
以下は、トロイの木馬が埋め込まれたアプリケーションの例です。
クリッカーをインストールして起動した後(以下、その変更を例として使用します)
ユーザーが必要な許可を与えることに同意すると、トロイの木馬は受信 SMS に関するすべての通知を非表示にし、メッセージ テキストを傍受することができます。
次に、クリッカーは感染したデバイスに関する技術データを制御サーバーに送信し、被害者の SIM カードのシリアル番号を確認します。 対象国のいずれかに一致する場合、
被害者の SIM カードが攻撃者が関心のある国に属していない場合、トロイの木馬は何もせず、悪意のある活動を停止します。 クリッカー攻撃の修正は次の国の居住者を対象に調査されました。
- オーストリア
- イタリア
- フランス
- タイ
- マレーシア
- ドイツ
- カタール
- ポーランド
- ギリシャ
- アイルランド
番号情報送信後
サイトのアドレスを受け取りましたので、
クリッカーには SMS を操作したりメッセージにアクセスしたりする機能がないにもかかわらず、この制限は回避されます。 こんなふうになります。 トロイの木馬サービスは、デフォルトで SMS と連携するように割り当てられているアプリケーションからの通知を監視します。 メッセージが到着すると、サービスは対応するシステム通知を非表示にします。 次に、受信した SMS に関する情報を抽出し、トロイの木馬ブロードキャスト受信機に送信します。 その結果、ユーザーは SMS の受信に関する通知が表示されず、何が起こっているのかわかりません。 彼がこのサービスに加入することを知るのは、自分のアカウントからお金が消え始めたとき、またはメッセージ メニューに移動してプレミアム サービスに関連する SMS を見たときだけです。
Doctor Web の専門家が Google に連絡した後、検出された悪意のあるアプリケーションは Google Play から削除されました。 このクリッカーの既知の変更はすべて、Android 用 Dr.Web ウイルス対策製品によって正常に検出および削除されるため、ユーザーに脅威をもたらすことはありません。