Doctor Web нь хэрэглэгчдийг төлбөртэй үйлчилгээнд автоматаар бүртгүүлэх чадвартай, Android програмуудын албан ёсны каталогоос дарагч троян илрүүлжээ. Вирусын шинжээчид гэж нэрлэгддэг энэхүү хортой програмын хэд хэдэн өөрчлөлтийг тодорхойлсон
Нэгдүгээрт, тэд товшилтыг гэм зэмгүй хэрэглүүрүүд болох камер, зургийн цуглуулга болгон бүтээж, зорилгоо биелүүлсэн. Үүний үр дүнд хэрэглэгчид болон мэдээллийн аюулгүй байдлын мэргэжилтнүүд тэднийг аюул гэж үзэх тодорхой шалтгаан байгаагүй.
Хоёрдугаарт, бүх хортой программыг арилжааны Jiagu багцлагчаар хамгаалсан бөгөөд энэ нь вирусны эсрэг программыг илрүүлэхэд хүндрэл учруулж, кодын дүн шинжилгээ хийхэд хүндрэл учруулдаг. Ингэснээр Троян нь Google Play лавлахын суулгасан хамгаалалтаар илрэхээс зайлсхийх илүү боломж байсан.
Гуравдугаарт, вирус зохиогчид Трояныг алдартай зар сурталчилгаа, аналитик номын сан болгон халхлахыг оролдсон. Операторын программуудад нэмсний дараа үүнийг Facebook болон Adjust-ийн одоо байгаа SDK-д суулгаж, тэдгээрийн бүрэлдэхүүн хэсгүүдийн дунд нуугджээ.
Нэмж дурдахад товшилт нь хэрэглэгчид рүү сонгон довтолсон: хэрэв болзошгүй хохирогч нь халдагчдыг сонирхож буй аль нэг улсын оршин суугч биш бол энэ нь ямар ч хор хөнөөлтэй үйлдэл хийгээгүй.
Троян суулгасан програмуудын жишээг доор харуулав.
Дарагчийг суулгаж, ажиллуулсны дараа (цаашид түүний өөрчлөлтийг жишээ болгон ашиглах болно
Хэрэв хэрэглэгч түүнд шаардлагатай зөвшөөрлийг өгөхийг зөвшөөрвөл Trojan нь ирж буй SMS-ийн талаарх бүх мэдэгдлийг нууж, мессежийн текстийг таслах боломжтой болно.
Дараа нь дарагч нь халдвар авсан төхөөрөмжийн техникийн мэдээллийг хяналтын сервер рүү дамжуулж, хохирогчийн SIM картын серийн дугаарыг шалгана. Хэрэв зорилтот орны аль нэгэнд нь таарч байвал,
Хэрэв хохирогчийн SIM карт халдагчдын сонирхсон улсад хамаарахгүй бол Троян ямар ч арга хэмжээ авахгүй бөгөөд хорлонтой үйл ажиллагаагаа зогсооно. Дараах орнуудын оршин суугчдад товшилтын довтолгооны судалгаа хийсэн өөрчлөлтүүд:
- Австри
- Итали
- Франц
- Таиланд
- Малайзия
- Герман
- Катар
- Польш
- Грек
- Ирланд
Дугаарын мэдээллийг дамжуулсны дараа
Сайтын хаягийг хүлээн авсны дараа,
Хэдийгээр дарагч нь SMS-тэй ажиллах, зурваст хандах функцгүй ч энэ хязгаарлалтыг давж гардаг. Энэ нь ингэж явдаг. Трояны үйлчилгээ нь анхдагч байдлаар SMS-тэй ажиллахаар томилогдсон програмын мэдэгдлүүдийг хянадаг. Зурвас ирэхэд үйлчилгээ нь холбогдох системийн мэдэгдлийг нуудаг. Дараа нь энэ нь хүлээн авсан SMS-ийн талаарх мэдээллийг гаргаж аваад Trojan broadcast хүлээн авагч руу дамжуулдаг. Үүний үр дүнд хэрэглэгч ирж буй SMS-ийн талаар ямар ч мэдэгдэл харахгүй бөгөөд юу болж байгааг мэдэхгүй байна. Тэрээр данснаас нь мөнгө алга болж эхлэх эсвэл мессежийн цэс рүү орж, дээд зэрэглэлийн үйлчилгээтэй холбоотой мессежийг харах үед л үйлчилгээнд бүртгүүлэх талаар мэддэг.
Doctor Web-ийн мэргэжилтнүүд Google-тэй холбоо барсны дараа илэрсэн хортой программуудыг Google Play-ээс устгасан. Энэхүү товшилтын бүх мэдэгдэж буй өөрчлөлтүүдийг Android-д зориулсан Dr.Web вирусны эсрэг бүтээгдэхүүнүүд амжилттай илрүүлж устгасан тул манай хэрэглэгчдэд аюул учруулахгүй.
Эх сурвалж: www.habr.com