Doctor Web Company atrodams oficiālajā katalogā Android-Trojas zirgu klikšķināšanas lietojumprogrammas, kas var automātiski abonēt lietotājus maksas pakalpojumiem. Vīrusu analītiķi ir identificējuši vairākas šīs ļaunprogrammatūras modifikācijas, kas nosauktas par , и Lai slēptu savu patieso mērķi un samazinātu atklāšanas iespējamību, uzbrucēji izmantoja vairākas metodes.
PirmkārtViņi iestrādāja klikšķinātāju nekaitīgās lietotnēs — kamerās un attēlu kolekcijās —, kas veica paredzētās funkcijas. Tā rezultātā lietotājiem un informācijas drošības speciālistiem nebija acīmredzama iemesla uzskatīt tos par draudiem.
OtrkārtVisu ļaunprogrammatūru aizsargāja komerciālais Jiagu pakotājs, kas kavē pretvīrusu noteikšanu un koda analīzi. Tas deva Trojas zirgam lielākas iespējas izvairīties no Google Play iebūvētās aizsardzības atklāšanas.
TreškārtĻaunprātīgas programmatūras autori mēģināja maskēt Trojas zirgu kā labi zināmas reklāmas analīzes bibliotēkas. Pēc pievienošanas resursdatora programmām tas integrējās tajos esošajās Facebook un Adjust SDK, paslēpjoties starp to komponentiem.
Turklāt klikšķinātājs selektīvi mērķēja uz lietotājiem: tas neveica nekādas ļaunprātīgas darbības, ja vien potenciālais upuris nebija kādas no uzbrucēju interesējošajām valstīm iedzīvotājs.
Tālāk ir sniegti piemēri ar lietojumprogrammām, kurās ir iestrādāts Trojas zirgs:
Pēc klikera instalēšanas un palaišanas (turpmāk kā piemērs tiks izmantota tā modifikācija) ) mēģina piekļūt operētājsistēmas paziņojumiem, parādot šādu pieprasījumu:
Ja lietotājs piekrīt piešķirt nepieciešamās atļaujas, Trojas zirgs varēs paslēpt visus ienākošos SMS paziņojumus un pārtvert ziņojumu tekstus.
Pēc tam klikšķinātājs nosūta inficētās ierīces tehniskos datus uz vadības un kontroles serveri un pārbauda upura SIM kartes sērijas numuru. Ja tas atbilst kādai no mērķa valstīm, Klikšķinātājs nosūta serverim informāciju par ar to saistīto tālruņa numuru. Pēc tam lietotājiem noteiktās valstīs tiek parādīts pikšķerēšanas logs, kurā viņiem tiek lūgts pašiem ievadīt numuru vai pieteikties savā Google kontā:
Ja upura SIM karte nav no uzbrucējus interesējošās valsts, Trojas zirgs neveic nekādas darbības un pārtrauc savu ļaunprātīgo darbību. Pētītās klikšķinātāja modifikācijas ir vērstas uz šādu valstu iedzīvotājiem:
- Austrija
- Itālija
- Francija
- Taizeme
- Malaizija
- Vācija
- Katara
- Polija
- Grieķija
- Īrija
Pēc informācijas par numuru pārsūtīšanas Gaida komandas no komandu un vadības servera. Serveris nosūta Trojas zirga komandas, kas satur ielādējamas tīmekļa vietņu adreses un JavaScript kodu. Šis kods tiek izmantots, lai vadītu klikšķinātāju, izmantojot JavascriptInterface saskarni, parādītu uznirstošos ziņojumus ierīcē, klikšķinātu uz tīmekļa lapām un veiktu citas darbības.
Saņemot tīmekļa vietnes adresi, Atver to neredzamā WebView logā, kur tiek ielādēts arī iepriekš saņemtais JavaScript kods ar klikšķa parametriem. Pēc premium pakalpojuma vietnes atvēršanas Trojas zirgs automātiski noklikšķina uz nepieciešamajām saitēm un pogām. Pēc tam tas saņem verifikācijas kodus ar īsziņu un automātiski apstiprina abonementu.
Lai gan klikšķinātājam nav īsziņu funkcionalitātes un piekļuves ziņojumiem, tas apiet šo ierobežojumu. Tas to dara šādi. Trojas zirga pakalpojums uzrauga paziņojumus no lietotnes, kas pēc noklusējuma ir piešķirta īsziņām. Kad pienāk ziņojums, pakalpojums paslēpj atbilstošo sistēmas paziņojumu. Pēc tam tas no tā izvelk informāciju par saņemto īsziņu un pārraida to Trojas zirga apraides uztvērējam. Tā rezultātā lietotājs neredz paziņojumus par ienākošajām īsziņām un nav informēts par darbību. Viņš uzzina par abonementu tikai tad, kad no viņa konta sāk pazust līdzekļi vai kad viņš piekļūst ziņojumu izvēlnei un redz īsziņas, kas saistītas ar premium pakalpojumu.
Pēc Doctor Web speciālistu pieprasījuma Google, atrastās ļaunprātīgās lietotnes tika noņemtas no Google Play. Visas zināmās šī klikšķinātāja modifikācijas ir veiksmīgi atklātas un noņemtas ar Dr.Web pretvīrusu produktu palīdzību. Android un tāpēc nerada draudus mūsu lietotājiem.
Avots: www.habr.com
