Doctor Web telah menemui Trojan clicker dalam katalog rasmi aplikasi Android yang mampu melanggan pengguna secara automatik kepada perkhidmatan berbayar. Penganalisis virus telah mengenal pasti beberapa pengubahsuaian program berniat jahat ini, yang dipanggil
Pertama, mereka membina pengklik ke dalam aplikasi yang tidak berbahayaβkamera dan koleksi imejβyang melaksanakan fungsi yang dimaksudkan. Akibatnya, tiada sebab yang jelas untuk pengguna dan profesional keselamatan maklumat melihatnya sebagai ancaman.
Kedua, semua perisian hasad dilindungi oleh pembungkus komersil Jiagu, yang merumitkan pengesanan oleh antivirus dan merumitkan analisis kod. Dengan cara ini, Trojan mempunyai peluang yang lebih baik untuk mengelakkan pengesanan oleh perlindungan terbina dalam direktori Google Play.
Ketiga, penulis virus cuba menyamarkan Trojan sebagai perpustakaan pengiklanan dan analisis yang terkenal. Setelah ditambahkan pada program pembawa, ia telah dibina ke dalam SDK sedia ada daripada Facebook dan Adjust, bersembunyi di antara komponennya.
Di samping itu, pengklik menyerang pengguna secara selektif: ia tidak melakukan sebarang tindakan berniat jahat jika bakal mangsa bukan penduduk salah satu negara yang diminati penyerang.
Di bawah ialah contoh aplikasi dengan Trojan yang tertanam di dalamnya:
Selepas memasang dan melancarkan clicker (selepas ini, pengubahsuaiannya akan digunakan sebagai contoh
Jika pengguna bersetuju untuk memberikannya kebenaran yang diperlukan, Trojan akan dapat menyembunyikan semua pemberitahuan tentang SMS masuk dan memintas teks mesej.
Seterusnya, clicker menghantar data teknikal mengenai peranti yang dijangkiti ke pelayan kawalan dan menyemak nombor siri kad SIM mangsa. Jika ia sepadan dengan salah satu negara sasaran,
Jika kad SIM mangsa bukan milik negara yang diminati penyerang, Trojan tidak mengambil tindakan dan menghentikan aktiviti jahatnya. Pengubahsuaian yang diteliti bagi penduduk serangan klik di negara berikut:
- Austria
- Itali
- Perancis
- Thailand
- Malaysia
- Jerman
- Qatar
- Poland
- Greece
- Ireland
Selepas menghantar maklumat nombor
Setelah menerima alamat tapak,
Walaupun fakta bahawa pengklik tidak mempunyai fungsi untuk bekerja dengan SMS dan mengakses mesej, ia memintas batasan ini. Ia berjalan seperti ini. Perkhidmatan Trojan memantau pemberitahuan daripada aplikasi, yang secara lalai ditugaskan untuk berfungsi dengan SMS. Apabila mesej tiba, perkhidmatan menyembunyikan pemberitahuan sistem yang sepadan. Ia kemudian mengekstrak maklumat tentang SMS yang diterima daripadanya dan menghantarnya ke penerima siaran Trojan. Akibatnya, pengguna tidak melihat sebarang pemberitahuan tentang SMS masuk dan tidak menyedari apa yang berlaku. Dia belajar tentang melanggan perkhidmatan hanya apabila wang mula hilang daripada akaunnya, atau apabila dia pergi ke menu mesej dan melihat SMS yang berkaitan dengan perkhidmatan premium.
Selepas pakar Web Doktor menghubungi Google, aplikasi berniat jahat yang dikesan telah dialih keluar daripada Google Play. Semua pengubahsuaian yang diketahui bagi pengklik ini berjaya dikesan dan dialih keluar oleh produk anti-virus Dr.Web untuk Android dan oleh itu tidak menimbulkan ancaman kepada pengguna kami.
Sumber: www.habr.com