Doctor Web huet e Clicker Trojaner am offiziellen Katalog vun Android Uwendungen entdeckt, deen fäeg ass d'Benotzer automatesch op bezuelte Servicer ze abonnéieren. Virus Analysten hunn e puer Ännerungen vun dësem béiswëlleg Programm identifizéiert, genannt , и . Fir hiren richtegen Zweck ze verstoppen an och d'Wahrscheinlechkeet vun der Detektioun vum Trojaner ze reduzéieren, hunn Ugräifer verschidde Techniken benotzt.
Éischtens, si hunn Clicker an onschëlleg Applikatiounen gebaut - Kameraen a Bildsammlungen - déi hir virgesinn Funktiounen ausféieren. Als Resultat gouf et kee kloere Grond fir d'Benotzer an d'Informatiounssécherheetsfachleit hinnen als Bedrohung ze gesinn.
Zweet, all Malware gouf vum kommerziellen Jiagu Packager geschützt, wat d'Detektioun duerch Antivirusen komplizéiert an d'Codeanalyse komplizéiert. Op dës Manéier hat den Trojaner eng besser Chance fir Detektioun duerch den agebaute Schutz vum Google Play Verzeichnis ze vermeiden.
Drëttens, Virus Schrëftsteller probéiert den Trojaner als bekannte Reklammen an analytesch Bibliothéiken ze verkleeden. Eemol an d'Carrier Programmer bäigefüügt, gouf et an déi existent SDKs vu Facebook an Adjust gebaut, verstoppt ënnert hire Komponenten.
Zousätzlech huet de Clicker d'Benotzer selektiv attackéiert: et huet keng béiswëlleg Handlungen gemaach wann de potenziellen Affer net e Resident vun engem vun de Länner vun Interesse fir den Ugräifer war.
Drënner sinn Beispiller vun Uwendungen mat engem Trojaner an hinnen agebonnen:
Nodeems Dir de Clicker installéiert an lancéiert huet (nodréiglech gëtt seng Ännerung als Beispill benotzt ) probéiert Zougang zum Betribssystem Notifikatiounen ze kréien andeems Dir déi folgend Ufro weist:
Wann de Benotzer averstanen ass him déi néideg Permissiounen ze ginn, kann den Trojaner all Notifikatiounen iwwer erakommen SMS verstoppen an d'Message Texter ofbriechen.
Als nächst gëtt de Clicker technesch Donnéeën iwwer den infizéierten Apparat op de Kontrollserver iwwerpréift a kontrolléiert d'Seriennummer vun der SIM Kaart vum Affer. Wann et mat engem vun den Zillänner entsprécht, schéckt un de Server Informatiounen iwwert d'Telefonsnummer mat et assoziéiert. Zur selwechter Zäit weist de Clicker Benotzer aus bestëmmte Länner eng Phishing-Fënster wou se froen eng Nummer anzeginn oder op hire Google Kont aloggen:
Wann d'SIM Kaart vum Affer net zum Land vum Interessi fir den Ugräifer gehéiert, hëlt den Trojanesche keng Handlung a stoppt seng béiswëlleg Aktivitéit. Déi recherchéiert Ännerunge vum Clicker Attack Awunner vun de folgende Länner:
- Éisträich
- Italien
- Frankräich
- Тайланд
- A Malaysien
- Däitschland
- Katar
- Polen
- Griicheland
- Lëtzebuerg
Nom Iwwerdroung vun der Zuelinformatioun waart op Kommandoen vum Managementserver. Et schéckt Aufgaben un den Trojaner, déi d'Adresse vu Websäiten enthalen fir erofzelueden an am JavaScript Format ze kodéieren. Dëse Code gëtt benotzt fir de Clicker duerch den JavascriptInterface ze kontrolléieren, Pop-up Messagen um Apparat ze weisen, Klick op Websäiten an aner Aktiounen auszeféieren.
Nodeems Dir d'Site Adress kritt hutt, mécht et an enger onsichtbarer WebView op, wou de virdrun akzeptéiert JavaScript mat Parameteren fir Klick och gelueden ass. Nodeems Dir eng Websäit mat engem Premium Service opgemaach huet, klickt den Trojaner automatesch op déi néideg Linken a Knäppercher. Als nächst kritt hien d'Verifikatiounscodes vun der SMS an bestätegt onofhängeg den Abonnement.
Trotz der Tatsaach, datt de Clicker net d'Funktioun huet fir mat SMS ze schaffen an Zougang zu Messagen ze kréien, ëmgedréit hien dës Begrenzung. Et geet esou. Den Trojanesche Service iwwerwaacht Notifikatiounen vun der Applikatioun, déi als Standard zougewisen ass fir mat SMS ze schaffen. Wann e Message kënnt, verstoppt de Service déi entspriechend System Notifikatioun. Et extrahéiert dann d'Informatioun iwwer déi kritt SMS dovunner a schéckt se un den Trojanesche Broadcast Empfänger. Als Resultat gesäit de Benotzer keng Notifikatiounen iwwer erakommen SMS an ass net bewosst wat geschitt. Hie léiert iwwer d'Abonnement op de Service nëmmen wann d'Sue vu sengem Kont verschwannen, oder wann hien an d'Messagemenü geet an d'SMS am Zesummenhang mam Premium-Service gesäit.
Nodeems Dokter Web Spezialisten Google kontaktéiert hunn, goufen déi detektéiert béiswëlleg Uwendungen aus Google Play geläscht. All bekannte Modifikatioune vun dësem Clicker ginn erfollegräich entdeckt a geläscht vun Dr.Web Anti-Virus Produkter fir Android a stellen dofir keng Gefor fir eis Benotzer.
Source: will.com