„Doctor Web“ oficialiame „Android“ programų kataloge atrado „clicker“ Trojos arklys, galintis automatiškai užsisakyti mokamas paslaugas. Virusų analitikai nustatė keletą šios kenkėjiškos programos modifikacijų, vadinamų
Pirma, jie sukūrė klikerį į nekenksmingas programas – kameras ir vaizdų kolekcijas, kurios atliko reklamuojamas funkcijas. Todėl vartotojams ir informacijos saugos specialistams nebuvo aiškios priežasties juos vertinti kaip grėsmę.
Antra, visos kenkėjiškos programos buvo apsaugotos komerciniu Jiagu pakuotoju, kuris apsunkina aptikimą antivirusinėmis programomis ir apsunkina kodo analizę. Tokiu būdu Trojos arklys turėjo daugiau galimybių išvengti aptikimo naudojant integruotą „Google Play“ katalogo apsaugą.
Trečia, virusų kūrėjai Trojos arklys bandė užmaskuoti gerai žinomas reklamines ir analitines bibliotekas. Kai jis buvo pridėtas prie operatoriaus programų, jis buvo integruotas į esamus „Facebook“ ir „Adjust“ SDK, paslėptus tarp jų komponentų.
Be to, klikeris vartotojus atakavo pasirinktinai: neatliko jokių kenkėjiškų veiksmų, jei potenciali auka nebuvo vienos iš užpuolikus dominančių šalių gyventojas.
Toliau pateikiami programų, kuriose yra įterptas Trojos arklys, pavyzdžiai:
Įdiegus ir paleidus klikerį (toliau kaip pavyzdys bus naudojamas jo modifikavimas).
Jei vartotojas sutiks suteikti jam reikiamus leidimus, Trojos arklys galės paslėpti visus pranešimus apie gaunamas SMS ir perimti žinučių tekstus.
Tada klikeris perduoda techninius duomenis apie užkrėstą įrenginį į valdymo serverį ir patikrina aukos SIM kortelės serijos numerį. Jei ji atitinka vieną iš tikslinių šalių,
Jei aukos SIM kortelė nepriklauso užpuolikus dominančiai šaliai, Trojos arklys nesiima jokių veiksmų ir sustabdo savo kenkėjišką veiklą. Ištirtos klikerių atakų modifikacijos šių šalių gyventojams:
- Austrijoje
- Italija
- Prancūzija
- Tailandas
- Малайзия
- Vokietija
- Катар
- Lenkija
- Graikija
- Airija
Perdavus numerio informaciją
Gavęs svetainės adresą,
Nepaisant to, kad klikeris neturi darbo su SMS ir prieigos prie pranešimų funkcijos, jis apeina šį apribojimą. Tai vyksta taip. Trojos arklys stebi pranešimus iš programos, kuri pagal numatytuosius nustatymus yra priskirta darbui su SMS. Kai gaunamas pranešimas, paslauga paslepia atitinkamą sistemos pranešimą. Tada iš jos išgauna informaciją apie gautą SMS ir perduoda ją Trojos transliacijos imtuvui. Dėl to vartotojas nemato jokių pranešimų apie gaunamas SMS ir nežino, kas vyksta. Apie paslaugos prenumeratą jis sužino tik tada, kai iš jo sąskaitos pradeda dingti pinigai arba nuėjęs į žinučių meniu pamato su premium paslauga susijusias SMS žinutes.
„Doctor Web“ specialistams susisiekus su „Google“, aptiktos kenkėjiškos programos buvo pašalintos iš „Google Play“. Visas žinomas šio klikerio modifikacijas sėkmingai aptinka ir pašalina „Dr.Web“ antivirusiniai produktai, skirti „Android“, todėl nekelia grėsmės mūsų vartotojams.
Šaltinis: www.habr.com