Doctor Web пайдаланушыларды ақылы қызметтерге автоматты түрде жазылуға қабілетті Android қолданбаларының ресми каталогында клик троянын тапты. Вирус талдаушылары аталған зиянды бағдарламаның бірнеше модификациясын анықтады
Біріншіден, олар басқыштарды зиянсыз қолданбаларға — камералар мен кескіндер жинақтарына — арнаулы функцияларын орындады. Нәтижесінде пайдаланушылар мен ақпараттық қауіпсіздік мамандары үшін оларды қауіп ретінде қарастыруға ешқандай нақты себеп болмады.
Екіншіден, барлық зиянды бағдарламалар коммерциялық Jiagu бумалаушысымен қорғалған, бұл антивирустармен анықтауды қиындатады және кодты талдауды қиындатады. Осылайша, троянның Google Play каталогының кірістірілген қорғанысы арқылы анықтаудан аулақ болу мүмкіндігі жоғары болды.
Үшіншіден, вирус жазушылары троянды танымал жарнамалық және аналитикалық кітапханалар ретінде жасыруға тырысты. Тасымалдаушы бағдарламаларға қосылғаннан кейін, ол Facebook және Adjust-тен бар SDK-ге салынып, олардың құрамдас бөліктері арасында жасырылды.
Сонымен қатар, клик пайдаланушыларға таңдамалы түрде шабуыл жасады: егер ықтимал құрбан шабуылдаушыларды қызықтыратын елдердің бірінің резиденті болмаса, ол ешқандай зиянды әрекеттер жасамады.
Төменде троян енгізілген қолданбалардың мысалдары берілген:
Кликті орнатып, іске қосқаннан кейін (бұдан әрі оның модификациясы мысал ретінде пайдаланылады
Егер пайдаланушы оған қажетті рұқсаттарды беруге келіссе, троян кіріс SMS туралы барлық хабарландыруларды жасырып, хабарлама мәтіндерін ұстай алады.
Әрі қарай, басқыш вирус жұққан құрылғы туралы техникалық деректерді басқару серверіне жібереді және жәбірленушінің SIM картасының сериялық нөмірін тексереді. Егер ол мақсатты елдердің біріне сәйкес келсе,
Егер жәбірленушінің SIM картасы шабуылдаушыларды қызықтыратын елге тиесілі болмаса, троян ешқандай әрекет жасамайды және өзінің зиянды әрекетін тоқтатады. Кликердің зерттелген модификациялары келесі елдердің тұрғындарына шабуыл жасайды:
- Австрия
- Италия
- Франция
- Таиланд
- Малайзия
- Германия
- Катар
- Польша
- Грекия
- Ирландия
Нөмір туралы ақпаратты жібергеннен кейін
Сайттың мекенжайын алған соң,
Кликтің SMS-пен жұмыс істеу және хабарламаларға қол жеткізу функциясы жоқтығына қарамастан, ол бұл шектеуді айналып өтеді. Осылай жүреді. Троян қызметі әдепкі бойынша SMS-пен жұмыс істеуге тағайындалған қолданбадан хабарландыруларды бақылайды. Хабарлама келгенде, қызмет тиісті жүйе хабарландыруын жасырады. Содан кейін ол одан алынған SMS туралы ақпаратты шығарып, оны трояндық хабар тарату қабылдағышына жібереді. Нәтижесінде пайдаланушы кіріс SMS туралы хабарландыруларды көрмейді және не болып жатқанын білмейді. Ол қызметке жазылу туралы шотынан ақша жоғала бастағанда немесе хабарламалар мәзіріне өтіп, премиум-сервиске қатысты SMS-ті көргенде ғана біледі.
Doctor Web мамандары Google-ге хабарласқаннан кейін анықталған зиянды қолданбалар Google Play дүкенінен жойылды. Бұл кликтің барлық белгілі модификациялары Android жүйесіне арналған Dr.Web антивирус өнімдерімен сәтті анықталды және жойылды, сондықтан біздің пайдаланушыларымызға қауіп төндірмейді.
Ақпарат көзі: www.habr.com