„Doctor Web“ oficialiame „Android“ programų kataloge atrado „clicker“ Trojos arklys, galintis automatiškai užsisakyti mokamas paslaugas. Virusų analitikai nustatė keletą šios kenkėjiškos programos modifikacijų, vadinamų , и . Norėdami paslėpti savo tikrąją paskirtį ir sumažinti Trojos arklys aptikimo tikimybę, užpuolikai naudojo keletą metodų.
Pirma, jie sukūrė klikerį į nekenksmingas programas – kameras ir vaizdų kolekcijas, kurios atliko reklamuojamas funkcijas. Todėl vartotojams ir informacijos saugos specialistams nebuvo aiškios priežasties juos vertinti kaip grėsmę.
Antra, visos kenkėjiškos programos buvo apsaugotos komerciniu Jiagu pakuotoju, kuris apsunkina aptikimą antivirusinėmis programomis ir apsunkina kodo analizę. Tokiu būdu Trojos arklys turėjo daugiau galimybių išvengti aptikimo naudojant integruotą „Google Play“ katalogo apsaugą.
Trečia, virusų kūrėjai Trojos arklys bandė užmaskuoti gerai žinomas reklamines ir analitines bibliotekas. Kai jis buvo pridėtas prie operatoriaus programų, jis buvo integruotas į esamus „Facebook“ ir „Adjust“ SDK, paslėptus tarp jų komponentų.
Be to, klikeris vartotojus atakavo pasirinktinai: neatliko jokių kenkėjiškų veiksmų, jei potenciali auka nebuvo vienos iš užpuolikus dominančių šalių gyventojas.
Toliau pateikiami programų, kuriose yra įterptas Trojos arklys, pavyzdžiai:
Įdiegus ir paleidus klikerį (toliau kaip pavyzdys bus naudojamas jo modifikavimas). ) bando pasiekti operacinės sistemos pranešimus parodydama šią užklausą:
Jei vartotojas sutiks suteikti jam reikiamus leidimus, Trojos arklys galės paslėpti visus pranešimus apie gaunamas SMS ir perimti žinučių tekstus.
Tada klikeris perduoda techninius duomenis apie užkrėstą įrenginį į valdymo serverį ir patikrina aukos SIM kortelės serijos numerį. Jei ji atitinka vieną iš tikslinių šalių, siunčia į serverį informaciją apie su juo susietą telefono numerį. Tuo pačiu metu spustelėjus naudotojams iš tam tikrų šalių rodomas sukčiavimo langas, kuriame jie prašo įvesti numerį arba prisijungti prie „Google“ paskyros:
Jei aukos SIM kortelė nepriklauso užpuolikus dominančiai šaliai, Trojos arklys nesiima jokių veiksmų ir sustabdo savo kenkėjišką veiklą. Ištirtos klikerių atakų modifikacijos šių šalių gyventojams:
- Austrijoje
- Italija
- Prancūzija
- Tailandas
- Малайзия
- Vokietija
- Катар
- Lenkija
- Graikija
- Airija
Perdavus numerio informaciją laukia komandų iš valdymo serverio. Jis siunčia Trojos arkliui užduotis, kuriose yra svetainių adresai, kuriuos reikia atsisiųsti ir koduoti JavaScript formatu. Šis kodas naudojamas spustelėjimui valdyti per „Javascript Interface“, įrenginyje rodyti iššokančiuosius pranešimus, spustelėti tinklalapius ir atlikti kitus veiksmus.
Gavęs svetainės adresą, atidaro jį nematomame WebView, kuriame taip pat įkeliamas anksčiau priimtas JavaScript su parametrais paspaudimams. Atidaręs svetainę su aukščiausios kokybės paslauga, Trojos arklys automatiškai paspaudžia reikiamas nuorodas ir mygtukus. Tada jis gauna patvirtinimo kodus iš SMS ir savarankiškai patvirtina prenumeratą.
Nepaisant to, kad klikeris neturi darbo su SMS ir prieigos prie pranešimų funkcijos, jis apeina šį apribojimą. Tai vyksta taip. Trojos arklys stebi pranešimus iš programos, kuri pagal numatytuosius nustatymus yra priskirta darbui su SMS. Kai gaunamas pranešimas, paslauga paslepia atitinkamą sistemos pranešimą. Tada iš jos išgauna informaciją apie gautą SMS ir perduoda ją Trojos transliacijos imtuvui. Dėl to vartotojas nemato jokių pranešimų apie gaunamas SMS ir nežino, kas vyksta. Apie paslaugos prenumeratą jis sužino tik tada, kai iš jo sąskaitos pradeda dingti pinigai arba nuėjęs į žinučių meniu pamato su premium paslauga susijusias SMS žinutes.
„Doctor Web“ specialistams susisiekus su „Google“, aptiktos kenkėjiškos programos buvo pašalintos iš „Google Play“. Visas žinomas šio klikerio modifikacijas sėkmingai aptinka ir pašalina „Dr.Web“ antivirusiniai produktai, skirti „Android“, todėl nekelia grėsmės mūsų vartotojams.
Šaltinis: www.habr.com