Dokter Web wis nemokake Trojan clicker ing katalog resmi aplikasi Android sing bisa langganan pangguna kanthi otomatis menyang layanan sing dibayar. Analis virus wis ngenali sawetara modifikasi saka program angkoro iki, disebut , и . Kanggo ndhelikake tujuan sing bener lan uga nyuda kemungkinan deteksi Trojan, panyerang nggunakake sawetara teknik.
Sepisanan, padha mbangun clickers menyang innocuous aplikasi-kamera lan gambar koleksi-sing nindakake fungsi sing dimaksudaké. Akibaté, ora ana alesan sing jelas kanggo pangguna lan profesional keamanan informasi kanggo ndeleng minangka ancaman.
Kaping kalih, kabeh malware direksa dening Jiagu packager komersial, sing complicates deteksi dening antivirus lan complicates analisis kode. Kanthi cara iki, Trojan duwe kesempatan sing luwih apik kanggo ngindhari deteksi kanthi proteksi sing dibangun ing direktori Google Play.
Pangeran, panulis virus nyoba nyamarake Trojan minangka iklan lan perpustakaan analitis sing kondhang. Sawise ditambahake menyang program operator, dibangun ing SDK sing ana saka Facebook lan Adjust, ndhelikake ing antarane komponene.
Kajaba iku, clicker nyerang pangguna kanthi selektif: ora nindakake tumindak ala yen calon korban dudu penduduk salah sawijining negara sing disenengi para panyerang.
Ing ngisor iki conto aplikasi kanthi Trojan sing dipasang ing:
Sawise nginstal lan ngluncurake clicker (sabanjure, modifikasi kasebut bakal digunakake minangka conto ) nyoba ngakses kabar sistem operasi kanthi nuduhake panjalukan ing ngisor iki:
Yen pangguna setuju menehi ijin sing dibutuhake, Trojan bakal bisa ndhelikake kabeh kabar babagan SMS sing mlebu lan nyegat teks pesen.
Sabanjure, clicker ngirim data teknis babagan piranti sing kena infeksi menyang server kontrol lan mriksa nomer seri kertu SIM korban. Yen cocog karo salah sawijining negara target, ngirim menyang informasi server babagan nomer telpon sing digandhengake karo. Ing wektu sing padha, clicker nuduhake pangguna saka negara tartamtu jendhela phishing sing dijaluk ngetik nomer utawa mlebu menyang akun Google:
Yen kertu SIM korban ora kagungane negara kapentingan kanggo panyerang, Trojan ora njupuk tindakan lan mungkasi kegiatan angkoro. Modifikasi sing diteliti babagan serangan clicker ing negara-negara ing ngisor iki:
- Austria
- Italia
- France
- Таиланд
- Малайзия
- Saksa
- Qatar
- Poland
- Yunani
- Irlandia
Sawise ngirim informasi nomer ngenteni printah saka server manajemen. Iki ngirim tugas menyang Trojan, sing ngemot alamat situs web kanggo didownload lan kode ing format JavaScript. Kode iki digunakake kanggo ngontrol clicker liwat JavascriptInterface, nampilake pesen pop-up ing piranti, nindakake klik ing kaca web, lan tumindak liyane.
Sawise nampa alamat situs, mbukak ing WebView sing ora katon, ing ngendi JavaScript sing ditampa sadurunge karo paramèter kanggo klik uga dimuat. Sawise mbukak situs web kanthi layanan premium, Trojan kanthi otomatis ngeklik tautan lan tombol sing dibutuhake. Sabanjure, dheweke nampa kode verifikasi saka SMS lan konfirmasi langganan kanthi mandiri.
Senadyan kasunyatan manawa clicker ora duwe fungsi nggarap SMS lan ngakses pesen, iku ngliwati watesan kasebut. Dadi kaya iki. Layanan Trojan ngawasi kabar saka aplikasi, sing minangka standar ditugasake kanggo nggarap SMS. Nalika pesen teka, layanan ndhelikake kabar sistem sing cocog. Banjur njupuk informasi babagan SMS sing ditampa lan dikirim menyang panrima siaran Trojan. Akibaté, pangguna ora weruh kabar babagan SMS sing mlebu lan ora ngerti apa sing kedadeyan. Dheweke sinau babagan langganan layanan kasebut mung nalika dhuwit wiwit ilang saka akun, utawa nalika pindhah menyang menu pesen lan ndeleng SMS sing ana gandhengane karo layanan premium.
Sawise spesialis Dokter Web ngubungi Google, aplikasi jahat sing dideteksi dicopot saka Google Play. Kabeh modifikasi dikenal saka clicker iki kasil dideteksi lan dibusak dening Dr.Web produk anti-virus kanggo Android lan mulane ora nuduhke ancaman kanggo kita kedhaftar.
Source: www.habr.com