Doctor Web пайдаланушыларды ақылы қызметтерге автоматты түрде жазылуға қабілетті Android қолданбаларының ресми каталогында клик троянын тапты. Вирус талдаушылары аталған зиянды бағдарламаның бірнеше модификациясын анықтады , и . Олардың шынайы мақсатын жасыру және троянды анықтау ықтималдығын азайту үшін шабуылдаушылар бірнеше әдісті пайдаланды.
Біріншіден, олар басқыштарды зиянсыз қолданбаларға — камералар мен кескіндер жинақтарына — арнаулы функцияларын орындады. Нәтижесінде пайдаланушылар мен ақпараттық қауіпсіздік мамандары үшін оларды қауіп ретінде қарастыруға ешқандай нақты себеп болмады.
Екіншіден, барлық зиянды бағдарламалар коммерциялық Jiagu бумалаушысымен қорғалған, бұл антивирустармен анықтауды қиындатады және кодты талдауды қиындатады. Осылайша, троянның Google Play каталогының кірістірілген қорғанысы арқылы анықтаудан аулақ болу мүмкіндігі жоғары болды.
Үшіншіден, вирус жазушылары троянды танымал жарнамалық және аналитикалық кітапханалар ретінде жасыруға тырысты. Тасымалдаушы бағдарламаларға қосылғаннан кейін, ол Facebook және Adjust-тен бар SDK-ге салынып, олардың құрамдас бөліктері арасында жасырылды.
Сонымен қатар, клик пайдаланушыларға таңдамалы түрде шабуыл жасады: егер ықтимал құрбан шабуылдаушыларды қызықтыратын елдердің бірінің резиденті болмаса, ол ешқандай зиянды әрекеттер жасамады.
Төменде троян енгізілген қолданбалардың мысалдары берілген:
Кликті орнатып, іске қосқаннан кейін (бұдан әрі оның модификациясы мысал ретінде пайдаланылады ) келесі сұрауды көрсету арқылы операциялық жүйе хабарландыруларына қол жеткізуге әрекет жасайды:
Егер пайдаланушы оған қажетті рұқсаттарды беруге келіссе, троян кіріс SMS туралы барлық хабарландыруларды жасырып, хабарлама мәтіндерін ұстай алады.
Әрі қарай, басқыш вирус жұққан құрылғы туралы техникалық деректерді басқару серверіне жібереді және жәбірленушінің SIM картасының сериялық нөмірін тексереді. Егер ол мақсатты елдердің біріне сәйкес келсе, серверге онымен байланысты телефон нөмірі туралы ақпаратты жібереді. Бұл ретте басқыш белгілі бір елдердің пайдаланушыларына фишинг терезесін көрсетеді, онда олар нөмірді енгізуді немесе Google есептік жазбасына кіруді сұрайды:
Егер жәбірленушінің SIM картасы шабуылдаушыларды қызықтыратын елге тиесілі болмаса, троян ешқандай әрекет жасамайды және өзінің зиянды әрекетін тоқтатады. Кликердің зерттелген модификациялары келесі елдердің тұрғындарына шабуыл жасайды:
- Австрия
- Италия
- Франция
- Таиланд
- Малайзия
- Германия
- Катар
- Польша
- Грекия
- Ирландия
Нөмір туралы ақпаратты жібергеннен кейін басқару серверінен пәрмендерді күтеді. Ол JavaScript пішімінде жүктеп алу және кодтау үшін веб-сайттардың мекенжайларын қамтитын троянға тапсырмаларды жібереді. Бұл код JavascriptInterface арқылы басу құралын басқару, құрылғыда қалқымалы хабарларды көрсету, веб-беттерді басу және басқа әрекеттерді орындау үшін пайдаланылады.
Сайттың мекенжайын алған соң, оны көрінбейтін WebView ішінде ашады, мұнда басу параметрлері бар бұрын қабылданған JavaScript де жүктеледі. Премиум қызметі бар веб-сайтты ашқаннан кейін троян автоматты түрде қажетті сілтемелер мен түймелерді басады. Содан кейін ол SMS-тен растау кодтарын алады және жазылымды дербес растайды.
Кликтің SMS-пен жұмыс істеу және хабарламаларға қол жеткізу функциясы жоқтығына қарамастан, ол бұл шектеуді айналып өтеді. Осылай жүреді. Троян қызметі әдепкі бойынша SMS-пен жұмыс істеуге тағайындалған қолданбадан хабарландыруларды бақылайды. Хабарлама келгенде, қызмет тиісті жүйе хабарландыруын жасырады. Содан кейін ол одан алынған SMS туралы ақпаратты шығарып, оны трояндық хабар тарату қабылдағышына жібереді. Нәтижесінде пайдаланушы кіріс SMS туралы хабарландыруларды көрмейді және не болып жатқанын білмейді. Ол қызметке жазылу туралы шотынан ақша жоғала бастағанда немесе хабарламалар мәзіріне өтіп, премиум-сервиске қатысты SMS-ті көргенде ғана біледі.
Doctor Web мамандары Google-ге хабарласқаннан кейін анықталған зиянды қолданбалар Google Play дүкенінен жойылды. Бұл кликтің барлық белгілі модификациялары Android жүйесіне арналған Dr.Web антивирус өнімдерімен сәтті анықталды және жойылды, сондықтан біздің пайдаланушыларымызға қауіп төндірмейді.
Ақпарат көзі: www.habr.com