Doctor Web колдонуучуларды автоматтык түрдө акы төлөнүүчү кызматтарга жазылууга жөндөмдүү Android тиркемелеринин расмий каталогунан чыкылдаткыч троянды тапты. Вирустук аналитиктер аталган зыяндуу программанын бир нече модификациясын аныкташкан , и . Алардын чыныгы максатын жашыруу жана ошондой эле троянды табуу ыктымалдыгын азайтуу үчүн чабуулчулар бир нече ыкмаларды колдонушкан.
Биринчиден, алар чыкылдаткычтарды зыянсыз тиркемелерге — камераларга жана сүрөт жыйнактарына — өздөрүнүн милдеттерин аткарган. Натыйжада, колдонуучулар жана маалымат коопсуздугу боюнча адистер үчүн аларды коркунуч катары кароого эч кандай так себеп болгон жок.
Экинчиден, бардык кесепеттүү программалар коммерциялык Jiagu пакеттөөчүсү тарабынан корголгон, бул антивирустар менен аныктоону кыйындатат жана кодду талдоону кыйындатат. Ошентип, троян Google Play каталогунун орнотулган коргоосу аркылуу табылбай калуу мүмкүнчүлүгүнө ээ болду.
Үчүнчүдөн, вирус жазуучулары троянды белгилүү жарнамалык жана аналитикалык китепканалар катары жашырууга аракет кылышкан. Алып баруучу программаларга кошулгандан кийин, ал Facebook жана Adjust'тен болгон SDK'ларга курулуп, алардын компоненттеринин арасында жашырылган.
Мындан тышкары, чыкылдаткыч колдонуучуларга тандалма чабуул жасады: эгерде потенциалдуу курмандык чабуулчуларды кызыктырган өлкөлөрдүн биринин резиденти болбосо, ал эч кандай зыяндуу аракеттерди жасаган эмес.
Төмөндө троян орнотулган колдонмолордун мисалдары келтирилген:
Clickerди орнотуп, ишке киргизгенден кийин (мындан ары анын модификациясы мисал катары колдонулат ) төмөнкү өтүнүчтү көрсөтүү менен операциялык тутумдун эскертмелерине кирүүгө аракет кылат:
Колдонуучу ага керектүү уруксаттарды берүүгө макул болсо, троян келген SMS жөнүндө бардык эскертмелерди жашырып, билдирүү тексттерин кармап алат.
Андан кийин, чыкылдаткыч жуккан түзмөк жөнүндө техникалык маалыматтарды башкаруу серверине өткөрүп, жабырлануучунун SIM картасынын сериялык номерин текшерет. Эгер ал максаттуу өлкөлөрдүн бирине дал келсе, ага байланышкан телефон номери тууралуу маалыматты серверге жөнөтөт. Ошол эле учурда, чыкылдаткыч белгилүү бир өлкөлөрдүн колдонуучуларына фишинг терезесин көрсөтөт, анда алар номерди киргизүүнү же Google аккаунтуна кирүүнү суранышат:
Эгерде жабырлануучунун SIM картасы чабуулчулар кызыкдар болгон өлкөгө таандык болбосо, троян эч кандай чара көрбөйт жана анын зыяндуу ишин токтотот. Clicker чабуулунун изилденген модификациялары төмөнкү өлкөлөрдүн тургундарына:
- Аустрия
- италия
- Албания
- Таиланд
- Малайзия
- Германия
- Катар
- Poland
- Greece
- Ирландия
Номер тууралуу маалыматты бергенден кийин башкаруу серверинен буйруктарды күтөт. Ал JavaScript форматында жүктөп алуу жана коддоо үчүн веб-сайттардын даректерин камтыган троянга тапшырмаларды жөнөтөт. Бул код JavascriptInterface аркылуу чыкылдаткычты башкаруу, түзмөктө калкыма билдирүүлөрдү көрсөтүү, веб-баракчаларды чыкылдатуу жана башка аракеттер үчүн колдонулат.
Сайттын дарегин алгандан кийин, аны көзгө көрүнбөгөн WebViewде ачат, мында чыкылдатуулардын параметрлери менен мурда кабыл алынган JavaScript да жүктөлөт. Премиум кызматы менен веб-сайтты ачкандан кийин, троян автоматтык түрдө керектүү шилтемелерди жана баскычтарды басат. Андан кийин, ал SMS текшерүү коддорун алат жана өз алдынча жазылууну ырастайт.
Clicker SMS менен иштөө жана билдирүүлөргө жетүү функциясына ээ эмес экендигине карабастан, ал бул чектөөнү айланып өтөт. Ушундай болот. Троян кызматы демейки боюнча SMS менен иштөөгө дайындалган тиркемеден эскертмелерди көзөмөлдөйт. Билдирүү келгенде, кызмат системанын тиешелүү эскертмесин жашырат. Андан кийин ал алынган SMS жөнүндө маалыматты чыгарып, трояндык уктуруу кабыл алуучуга өткөрүп берет. Натыйжада, колдонуучу кирүүчү SMS жөнүндө эч кандай билдирүүлөрдү көрбөйт жана эмне болуп жатканын билбейт. Кызматка жазылууну ал аккаунтунан акча жоголуп баштаганда же билдирүүлөр менюсуна кирип, премиум кызматына байланыштуу SMSти көргөндө гана билет.
Doctor Web адистери Google менен байланышкандан кийин аныкталган зыяндуу колдонмолор Google Play'ден өчүрүлгөн. Бул чыкылдаткычтын бардык белгилүү модификациялары Android үчүн Dr.Web антивирустук продуктулары тарабынан ийгиликтүү аныкталып, алынып салынды жана ошондуктан биздин колдонуучулар үчүн коркунуч туудурбайт.
Source: www.habr.com