プロホスト > ブログ > 行政 > Android クリッカーはユーザーを有料サービスにサインアップします

Android クリッカーはユーザーを有料サービスにサインアップします

Doctor Web は、Android アプリケーションの公式カタログで、ユーザーを自動的に有料サービスに登録できるクリッカー型トロイの木馬を発見しました。 ウイルスアナリストは、この悪意のあるプログラムのいくつかの変更を特定しました。 Android.Click.322.origin, Android.Click.323.origin и Android.Click.324.origin。 本当の目的を隠し、トロイの木馬が検出される可能性を減らすために、攻撃者はいくつかの手法を使用しました。

まず第一に彼らは、意図した機能を実行する無害なアプリケーション (カメラや画像コレクション) にクリッカーを組み込みました。 その結果、ユーザーや情報セキュリティ専門家がそれらを脅威とみなす明確な理由はありませんでした。

第二に、すべてのマルウェアは商用の Jiagu パッケージャーによって保護されていたため、ウイルス対策による検出が複雑になり、コード分析が複雑になりました。 このようにして、トロイの木馬は、Google Play ディレクトリの組み込み保護による検出を回避する可能性が高くなります。

第3に、ウイルス作成者は、トロイの木馬を有名な広告および分析ライブラリとして偽装しようとしました。 携帯通信会社のプログラムに追加されると、Facebook と Adjust の既存の SDK に組み込まれ、それらのコンポーネントの中に隠れていました。

さらに、クリッカーはユーザーを選択的に攻撃します。潜在的な被害者が攻撃者にとって関心のある国の居住者でない場合、悪意のあるアクションは実行しませんでした。

以下は、トロイの木馬が埋め込まれたアプリケーションの例です。

Android クリッカーはユーザーを有料サービスにサインアップします

Android クリッカーはユーザーを有料サービスにサインアップします

クリッカーをインストールして起動した後(以下、その変更を例として使用します) Android.Click.322.origin) は、次のリクエストを表示して、オペレーティング システムの通知にアクセスしようとします。

Android クリッカーはユーザーを有料サービスにサインアップします Android クリッカーはユーザーを有料サービスにサインアップします

ユーザーが必要な許可を与えることに同意すると、トロイの木馬は受信 SMS に関するすべての通知を非表示にし、メッセージ テキストを傍受することができます。

次に、クリッカーは感染したデバイスに関する技術データを制御サーバーに送信し、被害者の SIM カードのシリアル番号を確認します。 対象国のいずれかに一致する場合、 Android.Click.322.origin 関連付けられた電話番号に関する情報をサーバーに送信します。 同時に、クリッカーは特定の国のユーザーにフィッシング ウィンドウを表示し、番号の入力または Google アカウントへのログインを求めます。

Android クリッカーはユーザーを有料サービスにサインアップします

被害者の SIM カードが攻撃者が関心のある国に属していない場合、トロイの木馬は何もせず、悪意のある活動を停止します。 クリッカー攻撃の修正は次の国の居住者を対象に調査されました。

  • オーストリア
  • イタリア
  • フランス
  • タイ
  • マレーシア
  • ドイツ
  • カタール
  • ポーランド
  • ギリシャ
  • アイルランド

番号情報送信後 Android.Click.322.origin 管理サーバーからのコマンドを待ちます。 このトロイの木馬は、ダウンロードして JavaScript 形式でコード化するための Web サイトのアドレスを含むタスクをトロイの木馬に送信します。 このコードは、JavaScriptInterface を介してクリッカーを制御し、デバイス上でポップアップ メッセージを表示し、Web ページでのクリックやその他のアクションを実行するために使用されます。

サイトのアドレスを受け取りましたので、 Android.Click.322.origin 非表示の WebView で開きます。ここには、クリック用のパラメータを含む以前に受け入れられた JavaScript も読み込まれます。 プレミアム サービスを提供する Web サイトを開くと、トロイの木馬は必要なリンクやボタンを自動的にクリックします。 次に、SMS から確認コードを受け取り、独自にサブスクリプションを確認します。

クリッカーには SMS を操作したりメッセージにアクセスしたりする機能がないにもかかわらず、この制限は回避されます。 こんなふうになります。 トロイの木馬サービスは、デフォルトで SMS と連携するように割り当てられているアプリケーションからの通知を監視します。 メッセージが到着すると、サービスは対応するシステム通知を非表示にします。 次に、受信した SMS に関する情報を抽出し、トロイの木馬ブロードキャスト受信機に送信します。 その結果、ユーザーは SMS の受信に関する通知が表示されず、何が起こっているのかわかりません。 彼がこのサービスに加入することを知るのは、自分のアカウントからお金が消え始めたとき、またはメッセージ メニューに移動してプレミアム サービスに関連する SMS を見たときだけです。

Doctor Web の専門家が Google に連絡した後、検出された悪意のあるアプリケーションは Google Play から削除されました。 このクリッカーの既知の変更はすべて、Android 用 Dr.Web ウイルス対策製品によって正常に検出および削除されるため、ユーザーに脅威をもたらすことはありません。

Android.Click.322.origin について詳しく見る

出所: habr.com

コメントを追加します