ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಆಡಳಿತ > ಪಾವತಿಸಿದ ಸೇವೆಗಳಿಗಾಗಿ Android ಕ್ಲಿಕ್ ಮಾಡುವವರು ಬಳಕೆದಾರರನ್ನು ಸೈನ್ ಅಪ್ ಮಾಡುತ್ತಾರೆ

ಪಾವತಿಸಿದ ಸೇವೆಗಳಿಗಾಗಿ Android ಕ್ಲಿಕ್ ಮಾಡುವವರು ಬಳಕೆದಾರರನ್ನು ಸೈನ್ ಅಪ್ ಮಾಡುತ್ತಾರೆ

ಪಾವತಿಸಿದ ಸೇವೆಗಳಿಗೆ ಬಳಕೆದಾರರನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಚಂದಾದಾರರಾಗಲು ಸಮರ್ಥವಾಗಿರುವ Android ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಅಧಿಕೃತ ಕ್ಯಾಟಲಾಗ್‌ನಲ್ಲಿ ಡಾಕ್ಟರ್ ವೆಬ್ ಕ್ಲಿಕ್ಕರ್ ಟ್ರೋಜನ್ ಅನ್ನು ಕಂಡುಹಿಡಿದಿದೆ. ವೈರಸ್ ವಿಶ್ಲೇಷಕರು ಈ ದುರುದ್ದೇಶಪೂರಿತ ಕಾರ್ಯಕ್ರಮದ ಹಲವಾರು ಮಾರ್ಪಾಡುಗಳನ್ನು ಗುರುತಿಸಿದ್ದಾರೆ Android.Click.322.origin, Android.Click.323.origin и Android.Click.324.origin. ತಮ್ಮ ನಿಜವಾದ ಉದ್ದೇಶವನ್ನು ಮರೆಮಾಡಲು ಮತ್ತು ಟ್ರೋಜನ್ ಅನ್ನು ಪತ್ತೆಹಚ್ಚುವ ಸಾಧ್ಯತೆಯನ್ನು ಕಡಿಮೆ ಮಾಡಲು, ಆಕ್ರಮಣಕಾರರು ಹಲವಾರು ತಂತ್ರಗಳನ್ನು ಬಳಸಿದರು.

ಮೊದಲನೆಯದಾಗಿ, ಅವರು ಕ್ಲಿಕ್ಕರ್‌ಗಳನ್ನು ನಿರುಪದ್ರವಿ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಾಗಿ ನಿರ್ಮಿಸಿದರು-ಕ್ಯಾಮೆರಾಗಳು ಮತ್ತು ಚಿತ್ರ ಸಂಗ್ರಹಣೆಗಳು-ಅವು ತಮ್ಮ ಉದ್ದೇಶಿತ ಕಾರ್ಯಗಳನ್ನು ನಿರ್ವಹಿಸುತ್ತವೆ. ಪರಿಣಾಮವಾಗಿ, ಬಳಕೆದಾರರು ಮತ್ತು ಮಾಹಿತಿ ಭದ್ರತಾ ವೃತ್ತಿಪರರು ಅವರನ್ನು ಬೆದರಿಕೆಯಾಗಿ ವೀಕ್ಷಿಸಲು ಯಾವುದೇ ಸ್ಪಷ್ಟ ಕಾರಣವಿರಲಿಲ್ಲ.

ಎರಡನೆಯದಾಗಿ, ಎಲ್ಲಾ ಮಾಲ್‌ವೇರ್‌ಗಳನ್ನು ವಾಣಿಜ್ಯ ಜಿಯಾಗು ಪ್ಯಾಕೇಜರ್‌ನಿಂದ ರಕ್ಷಿಸಲಾಗಿದೆ, ಇದು ಆಂಟಿವೈರಸ್‌ಗಳಿಂದ ಪತ್ತೆಹಚ್ಚುವಿಕೆಯನ್ನು ಸಂಕೀರ್ಣಗೊಳಿಸುತ್ತದೆ ಮತ್ತು ಕೋಡ್ ವಿಶ್ಲೇಷಣೆಯನ್ನು ಸಂಕೀರ್ಣಗೊಳಿಸುತ್ತದೆ. ಈ ರೀತಿಯಲ್ಲಿ, Google Play ಡೈರೆಕ್ಟರಿಯ ಅಂತರ್ನಿರ್ಮಿತ ರಕ್ಷಣೆಯಿಂದ ಪತ್ತೆಹಚ್ಚುವಿಕೆಯನ್ನು ತಪ್ಪಿಸುವ ಉತ್ತಮ ಅವಕಾಶವನ್ನು ಟ್ರೋಜನ್ ಹೊಂದಿತ್ತು.

ಮೂರನೆಯದಾಗಿ, ವೈರಸ್ ಬರಹಗಾರರು ಟ್ರೋಜನ್ ಅನ್ನು ಪ್ರಸಿದ್ಧ ಜಾಹೀರಾತು ಮತ್ತು ವಿಶ್ಲೇಷಣಾತ್ಮಕ ಗ್ರಂಥಾಲಯಗಳಾಗಿ ಮರೆಮಾಚಲು ಪ್ರಯತ್ನಿಸಿದರು. ಕ್ಯಾರಿಯರ್ ಪ್ರೋಗ್ರಾಂಗಳಿಗೆ ಒಮ್ಮೆ ಸೇರಿಸಿದರೆ, ಅದನ್ನು ಫೇಸ್‌ಬುಕ್‌ನಿಂದ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ SDK ಗಳಲ್ಲಿ ನಿರ್ಮಿಸಲಾಗಿದೆ ಮತ್ತು ಹೊಂದಿಸಿ, ಅವುಗಳ ಘಟಕಗಳ ನಡುವೆ ಮರೆಮಾಡಲಾಗಿದೆ.

ಹೆಚ್ಚುವರಿಯಾಗಿ, ಕ್ಲಿಕ್ ಮಾಡುವವರು ಬಳಕೆದಾರರನ್ನು ಆಯ್ದವಾಗಿ ಆಕ್ರಮಣ ಮಾಡಿದರು: ಸಂಭಾವ್ಯ ಬಲಿಪಶು ಆಕ್ರಮಣಕಾರರಿಗೆ ಆಸಕ್ತಿಯಿರುವ ದೇಶಗಳಲ್ಲಿ ಒಂದರ ನಿವಾಸಿಯಾಗಿರದಿದ್ದರೆ ಅದು ಯಾವುದೇ ದುರುದ್ದೇಶಪೂರಿತ ಕ್ರಿಯೆಗಳನ್ನು ಮಾಡಲಿಲ್ಲ.

ಟ್ರೋಜನ್ ಅನ್ನು ಒಳಗೊಂಡಿರುವ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಉದಾಹರಣೆಗಳನ್ನು ಕೆಳಗೆ ನೀಡಲಾಗಿದೆ:

ಪಾವತಿಸಿದ ಸೇವೆಗಳಿಗಾಗಿ Android ಕ್ಲಿಕ್ ಮಾಡುವವರು ಬಳಕೆದಾರರನ್ನು ಸೈನ್ ಅಪ್ ಮಾಡುತ್ತಾರೆ

ಪಾವತಿಸಿದ ಸೇವೆಗಳಿಗಾಗಿ Android ಕ್ಲಿಕ್ ಮಾಡುವವರು ಬಳಕೆದಾರರನ್ನು ಸೈನ್ ಅಪ್ ಮಾಡುತ್ತಾರೆ

ಕ್ಲಿಕ್ಕರ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿದ ಮತ್ತು ಪ್ರಾರಂಭಿಸಿದ ನಂತರ (ಇನ್ನು ಮುಂದೆ, ಅದರ ಮಾರ್ಪಾಡನ್ನು ಉದಾಹರಣೆಯಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ Android.Click.322.origin) ಈ ಕೆಳಗಿನ ವಿನಂತಿಯನ್ನು ತೋರಿಸುವ ಮೂಲಕ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಮ್ ಅಧಿಸೂಚನೆಗಳನ್ನು ಪ್ರವೇಶಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ:

ಪಾವತಿಸಿದ ಸೇವೆಗಳಿಗಾಗಿ Android ಕ್ಲಿಕ್ ಮಾಡುವವರು ಬಳಕೆದಾರರನ್ನು ಸೈನ್ ಅಪ್ ಮಾಡುತ್ತಾರೆ ಪಾವತಿಸಿದ ಸೇವೆಗಳಿಗಾಗಿ Android ಕ್ಲಿಕ್ ಮಾಡುವವರು ಬಳಕೆದಾರರನ್ನು ಸೈನ್ ಅಪ್ ಮಾಡುತ್ತಾರೆ

ಬಳಕೆದಾರನು ಅವನಿಗೆ ಅಗತ್ಯ ಅನುಮತಿಗಳನ್ನು ನೀಡಲು ಒಪ್ಪಿಕೊಂಡರೆ, ಟ್ರೋಜನ್ ಒಳಬರುವ SMS ಮತ್ತು ಪ್ರತಿಬಂಧಕ ಸಂದೇಶ ಪಠ್ಯಗಳ ಬಗ್ಗೆ ಎಲ್ಲಾ ಅಧಿಸೂಚನೆಗಳನ್ನು ಮರೆಮಾಡಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.

ಮುಂದೆ, ಕ್ಲಿಕ್ ಮಾಡುವವರು ಸೋಂಕಿತ ಸಾಧನದ ಬಗ್ಗೆ ತಾಂತ್ರಿಕ ಡೇಟಾವನ್ನು ನಿಯಂತ್ರಣ ಸರ್ವರ್‌ಗೆ ರವಾನಿಸುತ್ತಾರೆ ಮತ್ತು ಬಲಿಪಶುವಿನ ಸಿಮ್ ಕಾರ್ಡ್‌ನ ಸರಣಿ ಸಂಖ್ಯೆಯನ್ನು ಪರಿಶೀಲಿಸುತ್ತಾರೆ. ಇದು ಗುರಿ ದೇಶಗಳಲ್ಲಿ ಒಂದಕ್ಕೆ ಹೊಂದಿಕೆಯಾಗುವುದಾದರೆ, Android.Click.322.origin ಅದರೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿರುವ ಫೋನ್ ಸಂಖ್ಯೆಯ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸರ್ವರ್‌ಗೆ ಕಳುಹಿಸುತ್ತದೆ. ಅದೇ ಸಮಯದಲ್ಲಿ, ಕ್ಲಿಕ್ ಮಾಡುವವರು ನಿರ್ದಿಷ್ಟ ದೇಶಗಳ ಬಳಕೆದಾರರಿಗೆ ಫಿಶಿಂಗ್ ವಿಂಡೋವನ್ನು ತೋರಿಸುತ್ತಾರೆ, ಅಲ್ಲಿ ಅವರು ಸಂಖ್ಯೆಯನ್ನು ನಮೂದಿಸಲು ಅಥವಾ ಅವರ Google ಖಾತೆಗೆ ಲಾಗ್ ಇನ್ ಮಾಡಲು ಕೇಳುತ್ತಾರೆ:

ಪಾವತಿಸಿದ ಸೇವೆಗಳಿಗಾಗಿ Android ಕ್ಲಿಕ್ ಮಾಡುವವರು ಬಳಕೆದಾರರನ್ನು ಸೈನ್ ಅಪ್ ಮಾಡುತ್ತಾರೆ

ಬಲಿಪಶುವಿನ ಸಿಮ್ ಕಾರ್ಡ್ ಆಕ್ರಮಣಕಾರರಿಗೆ ಆಸಕ್ತಿಯ ದೇಶಕ್ಕೆ ಸೇರಿಲ್ಲದಿದ್ದರೆ, ಟ್ರೋಜನ್ ಯಾವುದೇ ಕ್ರಮ ತೆಗೆದುಕೊಳ್ಳುವುದಿಲ್ಲ ಮತ್ತು ಅದರ ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯನ್ನು ನಿಲ್ಲಿಸುತ್ತದೆ. ಈ ಕೆಳಗಿನ ದೇಶಗಳ ನಿವಾಸಿಗಳ ಮೇಲೆ ಕ್ಲಿಕ್ಕರ್ ದಾಳಿಯ ಸಂಶೋಧಿತ ಮಾರ್ಪಾಡುಗಳು:

  • ಆಸ್ಟ್ರಿಯಾ
  • ಇಟಲಿ
  • ಫ್ರಾನ್ಸ್
  • ಥೈಲ್ಯಾಂಡ್
  • ಮಲೇಜಿಯ
  • ಜರ್ಮನಿ
  • ಕತಾರ್
  • ಪೋಲೆಂಡ್
  • ಗ್ರೀಸ್
  • ಐರ್ಲೆಂಡ್

ಸಂಖ್ಯೆಯ ಮಾಹಿತಿಯನ್ನು ರವಾನಿಸಿದ ನಂತರ Android.Click.322.origin ನಿರ್ವಹಣಾ ಸರ್ವರ್‌ನಿಂದ ಆಜ್ಞೆಗಳಿಗಾಗಿ ಕಾಯುತ್ತದೆ. ಇದು ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಫಾರ್ಮ್ಯಾಟ್‌ನಲ್ಲಿ ಡೌನ್‌ಲೋಡ್ ಮಾಡಲು ಮತ್ತು ಕೋಡ್ ಮಾಡಲು ವೆಬ್‌ಸೈಟ್‌ಗಳ ವಿಳಾಸಗಳನ್ನು ಹೊಂದಿರುವ ಟ್ರೋಜನ್‌ಗೆ ಕಾರ್ಯಗಳನ್ನು ಕಳುಹಿಸುತ್ತದೆ. ಈ ಕೋಡ್ ಅನ್ನು JavascriptInterface ಮೂಲಕ ಕ್ಲಿಕ್ ಮಾಡುವವರನ್ನು ನಿಯಂತ್ರಿಸಲು, ಸಾಧನದಲ್ಲಿ ಪಾಪ್-ಅಪ್ ಸಂದೇಶಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲು, ವೆಬ್ ಪುಟಗಳಲ್ಲಿ ಕ್ಲಿಕ್ ಮಾಡಲು ಮತ್ತು ಇತರ ಕ್ರಿಯೆಗಳಿಗೆ ಬಳಸಲಾಗುತ್ತದೆ.

ಸೈಟ್ ವಿಳಾಸವನ್ನು ಸ್ವೀಕರಿಸಿದ ನಂತರ, Android.Click.322.origin ಅದೃಶ್ಯ WebView ನಲ್ಲಿ ಅದನ್ನು ತೆರೆಯುತ್ತದೆ, ಅಲ್ಲಿ ಕ್ಲಿಕ್‌ಗಳಿಗಾಗಿ ಪ್ಯಾರಾಮೀಟರ್‌ಗಳೊಂದಿಗೆ ಹಿಂದೆ ಸ್ವೀಕರಿಸಿದ JavaScript ಅನ್ನು ಸಹ ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ. ಪ್ರೀಮಿಯಂ ಸೇವೆಯೊಂದಿಗೆ ವೆಬ್‌ಸೈಟ್ ತೆರೆದ ನಂತರ, ಟ್ರೋಜನ್ ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಅಗತ್ಯ ಲಿಂಕ್‌ಗಳು ಮತ್ತು ಬಟನ್‌ಗಳ ಮೇಲೆ ಕ್ಲಿಕ್ ಮಾಡುತ್ತದೆ. ಮುಂದೆ, ಅವರು SMS ನಿಂದ ಪರಿಶೀಲನೆ ಕೋಡ್ಗಳನ್ನು ಸ್ವೀಕರಿಸುತ್ತಾರೆ ಮತ್ತು ಸ್ವತಂತ್ರವಾಗಿ ಚಂದಾದಾರಿಕೆಯನ್ನು ದೃಢೀಕರಿಸುತ್ತಾರೆ.

ಕ್ಲಿಕ್ ಮಾಡುವವರು SMS ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವ ಮತ್ತು ಸಂದೇಶಗಳನ್ನು ಪ್ರವೇಶಿಸುವ ಕಾರ್ಯವನ್ನು ಹೊಂದಿಲ್ಲ ಎಂಬ ವಾಸ್ತವದ ಹೊರತಾಗಿಯೂ, ಇದು ಈ ಮಿತಿಯನ್ನು ಬೈಪಾಸ್ ಮಾಡುತ್ತದೆ. ಇದು ಹೀಗೆ ಹೋಗುತ್ತದೆ. ಟ್ರೋಜನ್ ಸೇವೆಯು ಅಪ್ಲಿಕೇಶನ್‌ನಿಂದ ಅಧಿಸೂಚನೆಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತದೆ, ಇದು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ SMS ನೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ನಿಯೋಜಿಸಲಾಗಿದೆ. ಸಂದೇಶವು ಬಂದಾಗ, ಸೇವೆಯು ಅನುಗುಣವಾದ ಸಿಸ್ಟಮ್ ಅಧಿಸೂಚನೆಯನ್ನು ಮರೆಮಾಡುತ್ತದೆ. ನಂತರ ಅದು ಸ್ವೀಕರಿಸಿದ SMS ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಹೊರತೆಗೆಯುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ಟ್ರೋಜನ್ ಬ್ರಾಡ್‌ಕಾಸ್ಟ್ ರಿಸೀವರ್‌ಗೆ ರವಾನಿಸುತ್ತದೆ. ಪರಿಣಾಮವಾಗಿ, ಬಳಕೆದಾರರು ಒಳಬರುವ SMS ಕುರಿತು ಯಾವುದೇ ಅಧಿಸೂಚನೆಗಳನ್ನು ನೋಡುವುದಿಲ್ಲ ಮತ್ತು ಏನಾಗುತ್ತಿದೆ ಎಂಬುದರ ಬಗ್ಗೆ ತಿಳಿದಿರುವುದಿಲ್ಲ. ತನ್ನ ಖಾತೆಯಿಂದ ಹಣ ಕಣ್ಮರೆಯಾದಾಗ ಅಥವಾ ಸಂದೇಶಗಳ ಮೆನುಗೆ ಹೋದಾಗ ಮತ್ತು ಪ್ರೀಮಿಯಂ ಸೇವೆಗೆ ಸಂಬಂಧಿಸಿದ SMS ಅನ್ನು ನೋಡಿದಾಗ ಮಾತ್ರ ಸೇವೆಗೆ ಚಂದಾದಾರರಾಗುವ ಬಗ್ಗೆ ಅವನು ಕಲಿಯುತ್ತಾನೆ.

ಡಾಕ್ಟರ್ ವೆಬ್ ತಜ್ಞರು Google ಅನ್ನು ಸಂಪರ್ಕಿಸಿದ ನಂತರ, ಪತ್ತೆಯಾದ ದುರುದ್ದೇಶಪೂರಿತ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು Google Play ನಿಂದ ತೆಗೆದುಹಾಕಲಾಗಿದೆ. ಈ ಕ್ಲಿಕ್ಕರ್‌ನ ಎಲ್ಲಾ ತಿಳಿದಿರುವ ಮಾರ್ಪಾಡುಗಳನ್ನು Android ಗಾಗಿ Dr.Web ಆಂಟಿ-ವೈರಸ್ ಉತ್ಪನ್ನಗಳಿಂದ ಯಶಸ್ವಿಯಾಗಿ ಪತ್ತೆಹಚ್ಚಲಾಗಿದೆ ಮತ್ತು ತೆಗೆದುಹಾಕಲಾಗಿದೆ ಮತ್ತು ಆದ್ದರಿಂದ ನಮ್ಮ ಬಳಕೆದಾರರಿಗೆ ಅಪಾಯವನ್ನು ಉಂಟುಮಾಡುವುದಿಲ್ಲ.

Android.Click.322.origin ಕುರಿತು ಇನ್ನಷ್ಟು ತಿಳಿಯಿರಿ

ಮೂಲ: www.habr.com

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ