Doctor Web нь хэрэглэгчдийг төлбөртэй үйлчилгээнд автоматаар бүртгүүлэх чадвартай, Android програмуудын албан ёсны каталогоос дарагч троян илрүүлжээ. Вирусын шинжээчид гэж нэрлэгддэг энэхүү хортой програмын хэд хэдэн өөрчлөлтийг тодорхойлсон , и . Жинхэнэ зорилгоо нуух, мөн Троян илрүүлэх магадлалыг бууруулахын тулд халдагчид хэд хэдэн аргыг ашигласан.
Нэгдүгээрт, тэд товшилтыг гэм зэмгүй хэрэглүүрүүд болох камер, зургийн цуглуулга болгон бүтээж, зорилгоо биелүүлсэн. Үүний үр дүнд хэрэглэгчид болон мэдээллийн аюулгүй байдлын мэргэжилтнүүд тэднийг аюул гэж үзэх тодорхой шалтгаан байгаагүй.
Хоёрдугаарт, бүх хортой программыг арилжааны Jiagu багцлагчаар хамгаалсан бөгөөд энэ нь вирусны эсрэг программыг илрүүлэхэд хүндрэл учруулж, кодын дүн шинжилгээ хийхэд хүндрэл учруулдаг. Ингэснээр Троян нь Google Play лавлахын суулгасан хамгаалалтаар илрэхээс зайлсхийх илүү боломж байсан.
Гуравдугаарт, вирус зохиогчид Трояныг алдартай зар сурталчилгаа, аналитик номын сан болгон халхлахыг оролдсон. Операторын программуудад нэмсний дараа үүнийг Facebook болон Adjust-ийн одоо байгаа SDK-д суулгаж, тэдгээрийн бүрэлдэхүүн хэсгүүдийн дунд нуугджээ.
Нэмж дурдахад товшилт нь хэрэглэгчид рүү сонгон довтолсон: хэрэв болзошгүй хохирогч нь халдагчдыг сонирхож буй аль нэг улсын оршин суугч биш бол энэ нь ямар ч хор хөнөөлтэй үйлдэл хийгээгүй.
Троян суулгасан програмуудын жишээг доор харуулав.
Дарагчийг суулгаж, ажиллуулсны дараа (цаашид түүний өөрчлөлтийг жишээ болгон ашиглах болно ) дараах хүсэлтийг харуулах замаар үйлдлийн системийн мэдэгдлүүдэд хандах оролдлого:
Хэрэв хэрэглэгч түүнд шаардлагатай зөвшөөрлийг өгөхийг зөвшөөрвөл Trojan нь ирж буй SMS-ийн талаарх бүх мэдэгдлийг нууж, мессежийн текстийг таслах боломжтой болно.
Дараа нь дарагч нь халдвар авсан төхөөрөмжийн техникийн мэдээллийг хяналтын сервер рүү дамжуулж, хохирогчийн SIM картын серийн дугаарыг шалгана. Хэрэв зорилтот орны аль нэгэнд нь таарч байвал, түүнтэй холбоотой утасны дугаарын талаарх мэдээллийг сервер рүү илгээдэг. Үүний зэрэгцээ товшилт нь тодорхой орны хэрэглэгчдэд фишинг цонхыг харуулж, тэднээс дугаар оруулах эсвэл Google бүртгэлдээ нэвтрэхийг хүсдэг.
Хэрэв хохирогчийн SIM карт халдагчдын сонирхсон улсад хамаарахгүй бол Троян ямар ч арга хэмжээ авахгүй бөгөөд хорлонтой үйл ажиллагаагаа зогсооно. Дараах орнуудын оршин суугчдад товшилтын довтолгооны судалгаа хийсэн өөрчлөлтүүд:
- Австри
- Итали
- Франц
- Таиланд
- Малайзия
- Герман
- Катар
- Польш
- Грек
- Ирланд
Дугаарын мэдээллийг дамжуулсны дараа удирдлагын серверээс тушаал хүлээж байна. Энэ нь JavaScript форматаар татаж авах, кодлох вэбсайтуудын хаягийг агуулсан Троян руу даалгавруудыг илгээдэг. Энэ код нь JavascriptInterface-ээр товшилтыг удирдах, төхөөрөмж дээр гарч ирэх мессежүүдийг харуулах, вэб хуудсууд дээр товших болон бусад үйлдлүүдийг хийхэд ашиглагддаг.
Сайтын хаягийг хүлээн авсны дараа, үүнийг үл үзэгдэх WebView дээр нээдэг бөгөөд товшилтын параметр бүхий өмнө нь хүлээн зөвшөөрөгдсөн JavaScript мөн ачаалагддаг. Дээд зэрэглэлийн үйлчилгээ бүхий вэбсайтыг нээсний дараа троян автоматаар шаардлагатай холбоосууд болон товчлуурууд дээр дардаг. Дараа нь тэр SMS-ээс баталгаажуулах код хүлээн авч, захиалгыг бие даан баталгаажуулна.
Хэдийгээр дарагч нь SMS-тэй ажиллах, зурваст хандах функцгүй ч энэ хязгаарлалтыг давж гардаг. Энэ нь ингэж явдаг. Трояны үйлчилгээ нь анхдагч байдлаар SMS-тэй ажиллахаар томилогдсон програмын мэдэгдлүүдийг хянадаг. Зурвас ирэхэд үйлчилгээ нь холбогдох системийн мэдэгдлийг нуудаг. Дараа нь энэ нь хүлээн авсан SMS-ийн талаарх мэдээллийг гаргаж аваад Trojan broadcast хүлээн авагч руу дамжуулдаг. Үүний үр дүнд хэрэглэгч ирж буй SMS-ийн талаар ямар ч мэдэгдэл харахгүй бөгөөд юу болж байгааг мэдэхгүй байна. Тэрээр данснаас нь мөнгө алга болж эхлэх эсвэл мессежийн цэс рүү орж, дээд зэрэглэлийн үйлчилгээтэй холбоотой мессежийг харах үед л үйлчилгээнд бүртгүүлэх талаар мэддэг.
Doctor Web-ийн мэргэжилтнүүд Google-тэй холбоо барсны дараа илэрсэн хортой программуудыг Google Play-ээс устгасан. Энэхүү товшилтын бүх мэдэгдэж буй өөрчлөлтүүдийг Android-д зориулсан Dr.Web вирусны эсрэг бүтээгдэхүүнүүд амжилттай илрүүлж устгасан тул манай хэрэглэгчдэд аюул учруулахгүй.
Эх сурвалж: www.habr.com