Doctor Web telah menemui Trojan clicker dalam katalog rasmi aplikasi Android yang mampu melanggan pengguna secara automatik kepada perkhidmatan berbayar. Penganalisis virus telah mengenal pasti beberapa pengubahsuaian program berniat jahat ini, yang dipanggil , ΠΈ . Untuk menyembunyikan tujuan sebenar mereka dan juga mengurangkan kemungkinan pengesanan Trojan, penyerang menggunakan beberapa teknik.
Pertama, mereka membina pengklik ke dalam aplikasi yang tidak berbahayaβkamera dan koleksi imejβyang melaksanakan fungsi yang dimaksudkan. Akibatnya, tiada sebab yang jelas untuk pengguna dan profesional keselamatan maklumat melihatnya sebagai ancaman.
Kedua, semua perisian hasad dilindungi oleh pembungkus komersil Jiagu, yang merumitkan pengesanan oleh antivirus dan merumitkan analisis kod. Dengan cara ini, Trojan mempunyai peluang yang lebih baik untuk mengelakkan pengesanan oleh perlindungan terbina dalam direktori Google Play.
Ketiga, penulis virus cuba menyamarkan Trojan sebagai perpustakaan pengiklanan dan analisis yang terkenal. Setelah ditambahkan pada program pembawa, ia telah dibina ke dalam SDK sedia ada daripada Facebook dan Adjust, bersembunyi di antara komponennya.
Di samping itu, pengklik menyerang pengguna secara selektif: ia tidak melakukan sebarang tindakan berniat jahat jika bakal mangsa bukan penduduk salah satu negara yang diminati penyerang.
Di bawah ialah contoh aplikasi dengan Trojan yang tertanam di dalamnya:
Selepas memasang dan melancarkan clicker (selepas ini, pengubahsuaiannya akan digunakan sebagai contoh ) cuba mengakses pemberitahuan sistem pengendalian dengan menunjukkan permintaan berikut:
Jika pengguna bersetuju untuk memberikannya kebenaran yang diperlukan, Trojan akan dapat menyembunyikan semua pemberitahuan tentang SMS masuk dan memintas teks mesej.
Seterusnya, clicker menghantar data teknikal mengenai peranti yang dijangkiti ke pelayan kawalan dan menyemak nombor siri kad SIM mangsa. Jika ia sepadan dengan salah satu negara sasaran, menghantar kepada pelayan maklumat tentang nombor telefon yang dikaitkan dengannya. Pada masa yang sama, pengklik menunjukkan pengguna dari negara tertentu tetingkap pancingan data yang meminta mereka memasukkan nombor atau log masuk ke akaun Google mereka:
Jika kad SIM mangsa bukan milik negara yang diminati penyerang, Trojan tidak mengambil tindakan dan menghentikan aktiviti jahatnya. Pengubahsuaian yang diteliti bagi penduduk serangan klik di negara berikut:
- Austria
- Itali
- Perancis
- Thailand
- Malaysia
- Jerman
- Qatar
- Poland
- Greece
- Ireland
Selepas menghantar maklumat nombor menunggu arahan daripada pelayan pengurusan. Ia menghantar tugas kepada Trojan, yang mengandungi alamat tapak web untuk dimuat turun dan dikodkan dalam format JavaScript. Kod ini digunakan untuk mengawal pengklik melalui JavascriptInterface, memaparkan mesej pop timbul pada peranti, melakukan klik pada halaman web dan tindakan lain.
Setelah menerima alamat tapak, membukanya dalam WebView yang tidak kelihatan, di mana JavaScript yang diterima sebelum ini dengan parameter untuk klik juga dimuatkan. Selepas membuka tapak web dengan perkhidmatan premium, Trojan secara automatik mengklik pada pautan dan butang yang diperlukan. Seterusnya, dia menerima kod pengesahan daripada SMS dan mengesahkan langganan secara bebas.
Walaupun fakta bahawa pengklik tidak mempunyai fungsi untuk bekerja dengan SMS dan mengakses mesej, ia memintas batasan ini. Ia berjalan seperti ini. Perkhidmatan Trojan memantau pemberitahuan daripada aplikasi, yang secara lalai ditugaskan untuk berfungsi dengan SMS. Apabila mesej tiba, perkhidmatan menyembunyikan pemberitahuan sistem yang sepadan. Ia kemudian mengekstrak maklumat tentang SMS yang diterima daripadanya dan menghantarnya ke penerima siaran Trojan. Akibatnya, pengguna tidak melihat sebarang pemberitahuan tentang SMS masuk dan tidak menyedari apa yang berlaku. Dia belajar tentang melanggan perkhidmatan hanya apabila wang mula hilang daripada akaunnya, atau apabila dia pergi ke menu mesej dan melihat SMS yang berkaitan dengan perkhidmatan premium.
Selepas pakar Web Doktor menghubungi Google, aplikasi berniat jahat yang dikesan telah dialih keluar daripada Google Play. Semua pengubahsuaian yang diketahui bagi pengklik ini berjaya dikesan dan dialih keluar oleh produk anti-virus Dr.Web untuk Android dan oleh itu tidak menimbulkan ancaman kepada pengguna kami.
Sumber: www.habr.com