Компания «Доктор Веб» обнаружила в официальном каталоге Android-приложений троянца-кликера, который способен автоматически подписывать пользователей на платные сервисы. Вирусные аналитики выявили несколько модификаций этой вредоносной программы, получившие имена
Yekem, они встроили кликера в безобидные приложения — фотокамеры и сборники изображений, — которые выполняли заявленные функции. В результате у пользователей и специалистов по информационной безопасности не было явных причин рассматривать их как угрозу.
Duyemîn, все вредоносные программы были защищены коммерческим упаковщиком Jiagu, который усложняет детектирование антивирусами и затрудняет анализ кода. Таким образом у троянца было больше шансов избежать обнаружения встроенной защитой каталога Google Play.
Sêyemîn, вирусописатели пытались замаскировать троянца под известные рекламно-аналитические библиотеки. После добавления в программы-носители он встраивался в присутствовавшие в них SDK от Facebook и Adjust, скрываясь среди их компонентов.
Кроме того, кликер атаковал пользователей избирательно: он не выполнял никаких вредоносных действий, если потенциальная жертва не являлась жителем одной из интересующих злоумышленников стран.
Ниже приведены примеры приложений с внедренным в них троянцем:
После установки и запуска кликер (здесь и далее в качестве примера будет выступать его модификация
Если пользователь согласится предоставить ему необходимые разрешения, троянец сможет скрывать все уведомления о входящих СМС и перехватывать тексты сообщений.
Далее кликер передает на управляющий сервер технические данные о зараженном устройстве и проверяет серийный номер SIM-карты жертвы. Если та соответствует одной из целевых стран,
Если же SIM-карта жертвы не относится к интересующей злоумышленников стране, троянец не предпринимает никаких действий и прекращает вредоносную деятельность. Исследованные модификации кликера атакуют жителей следующих государств:
- Austria
- Îtalya
- France
- Taylor
- Moldova
- Almanya
- Qeter
- poland
- Greece
- Îrlandayê
После передачи информации о номере
Получив адрес сайта,
Несмотря на то, что у кликера нет функции работы с СМС и доступа к сообщениям, он обходит это ограничение. Это происходит следующим образом. Троянский сервис следит за уведомлениями от приложения, которое по умолчанию назначено на работу с СМС. При поступлении сообщения сервис скрывает соответствующее системное уведомление. Затем он извлекает из него информацию о полученном СМС и передает ее троянскому широковещательному приемнику. В результате пользователь не видит никаких уведомлений о входящих СМС и не знает о происходящем. О подписке на услугу он узнает только тогда, когда с его счета начнут пропадать деньги, либо когда он зайдет в меню сообщений и увидит СМС, связанные с премиум-сервисом.
После обращения специалистов «Доктор Веб» в корпорацию Google обнаруженные вредоносные приложения были удалены из Google Play. Все известные модификации этого кликера успешно детектируются и удаляются антивирусными продуктами Dr.Web для Android и потому не представляют угрозу для наших пользователей.