Doctor Web oficiālajā Android lietojumprogrammu katalogā ir atklājis klikšķinātāju Trojas zirgu, kas spēj automātiski abonēt lietotājus uz maksas pakalpojumiem. Vīrusu analītiķi ir identificējuši vairākas šīs kaitīgās programmas modifikācijas , и . Lai slēptu savu patieso mērķi un arī samazinātu Trojas zirga atklāšanas iespējamību, uzbrucēji izmantoja vairākas metodes.
Pirmkārt, viņi izveidoja klikšķus nekaitīgās lietojumprogrammās — kamerās un attēlu kolekcijās —, kas pildīja paredzētās funkcijas. Tā rezultātā lietotājiem un informācijas drošības speciālistiem nebija skaidra iemesla uzskatīt tos par draudiem.
Otrkārt, visas ļaunprātīgās programmatūras aizsargāja komerciālais Jiagu pakotājs, kas sarežģī antivīrusu noteikšanu un apgrūtina koda analīzi. Tādā veidā Trojas zirgam bija lielāka iespēja izvairīties no atklāšanas, izmantojot Google Play direktorija iebūvēto aizsardzību.
Treškārt, vīrusu rakstītāji mēģināja maskēt Trojas zirgu kā labi zināmas reklāmas un analītikas bibliotēkas. Kad tas tika pievienots mobilo sakaru operatoru programmām, tas tika iebūvēts esošajos SDK no Facebook un Adjust, paslēpjoties starp to komponentiem.
Turklāt klikšķinātājs lietotājiem uzbruka selektīvi: tas neveica nekādas ļaunprātīgas darbības, ja potenciālais upuris nebija kādas no uzbrucējus interesējošās valsts iedzīvotājs.
Tālāk ir sniegti piemēri lietojumprogrammām, kurās ir iegults Trojas zirgs.
Pēc klikera instalēšanas un palaišanas (turpmāk, tā modifikācija tiks izmantota kā piemērs). ) mēģina piekļūt operētājsistēmas paziņojumiem, parādot šādu pieprasījumu:
Ja lietotājs piekrīt piešķirt viņam nepieciešamās atļaujas, Trojas zirgs varēs slēpt visus paziņojumus par ienākošajām SMS un pārtvert ziņojumu tekstus.
Tālāk klikšķinātājs pārsūta tehniskos datus par inficēto ierīci uz kontroles serveri un pārbauda cietušā SIM kartes sērijas numuru. Ja tas atbilst kādai no mērķa valstīm, nosūta serverim informāciju par ar to saistīto tālruņa numuru. Tajā pašā laikā klikšķinātājs lietotājiem no noteiktām valstīm parāda pikšķerēšanas logu, kurā viņi lūdz ievadīt numuru vai pieteikties savā Google kontā:
Ja upura SIM karte nepieder uzbrucējus interesējošajai valstij, Trojas zirgs neveic nekādas darbības un aptur savu ļaunprātīgo darbību. Izpētītās klikeru uzbrukumu modifikācijas šādu valstu iedzīvotājiem:
- Austrija
- Itālija
- Francija
- Taizeme
- Malaizija
- Vācija
- Katara
- Polija
- Grieķija
- Īrija
Pēc numura informācijas pārsūtīšanas gaida komandas no pārvaldības servera. Tas nosūta Trojas zirgam uzdevumus, kas satur lejupielādējamo vietņu adreses un kodē JavaScript formātā. Šis kods tiek izmantots, lai kontrolētu klikšķinātāju, izmantojot JavascriptInterface, parādītu uznirstošos ziņojumus ierīcē, veiktu klikšķus uz tīmekļa lapām un veiktu citas darbības.
Saņemot vietnes adresi, atver to neredzamajā WebView, kur tiek ielādēts arī iepriekš pieņemtais JavaScript ar parametriem klikšķiem. Pēc vietnes atvēršanas ar augstākās kvalitātes pakalpojumu Trojas zirgs automātiski noklikšķina uz nepieciešamajām saitēm un pogām. Pēc tam viņš saņem verifikācijas kodus no SMS un neatkarīgi apstiprina abonementu.
Neskatoties uz to, ka klikerim nav funkcijas strādāt ar SMS un piekļūt ziņojumiem, tas apiet šo ierobežojumu. Tas notiek šādi. Trojas pakalpojums uzrauga paziņojumus no lietojumprogrammas, kas pēc noklusējuma ir piešķirta darbam ar SMS. Kad tiek saņemts ziņojums, pakalpojums slēpj atbilstošo sistēmas paziņojumu. Pēc tam tas no tā iegūst informāciju par saņemto SMS un pārsūta to uz Trojas apraides uztvērēju. Rezultātā lietotājs neredz paziņojumus par ienākošajām SMS un nezina, kas notiek. Par pakalpojuma abonēšanu viņš uzzina tikai tad, kad no viņa konta sāk pazust nauda vai arī atverot īsziņu izvēlni un redzot ar premium pakalpojumu saistītās SMS.
Pēc tam, kad Doctor Web speciālisti sazinājās ar Google, atklātās ļaunprātīgās lietojumprogrammas tika noņemtas no pakalpojuma Google Play. Visas zināmās šī klikera modifikācijas tiek veiksmīgi atklātas un noņemtas ar Dr.Web pretvīrusu produktiem Android ierīcēm, un tāpēc tās neapdraud mūsu lietotājus.
Avots: www.habr.com