Doctor Web skopra clicker Trojan fil-katalgu uffiċjali tal-applikazzjonijiet Android li kapaċi jissottoskrivi awtomatikament lill-utenti għal servizzi mħallsa. Analisti tal-virus identifikaw diversi modifiki ta 'dan il-programm malizzjuż, imsejħa , и . Biex jaħbu l-għan veru tagħhom u jnaqqsu wkoll il-probabbiltà ta 'skoperta tat-Trojan, l-attakkanti użaw diversi tekniki.
L-ewwelnett, huma bnew il-cliker f'applikazzjonijiet innokwa-kameras u kollezzjonijiet ta 'immaġni-li wettqu l-funzjonijiet reklamati. Bħala riżultat, ma kien hemm l-ebda raġuni ċara għall-utenti u l-professjonisti tas-sigurtà tal-informazzjoni biex iqisuhom bħala theddida.
It-tieni nett, il-malware kollu kien protett mill-pakkeġġatur kummerċjali Jiagu, li jikkomplika l-iskoperta minn antiviruses u jikkomplika l-analiżi tal-kodiċi. Dan il-mod, it-Trojan kellu ċans aħjar li jevita l-iskoperta mill-protezzjoni integrata tad-direttorju Google Play.
Fit-tielet lok, kittieba tal-virus ippruvaw jaħbu t-Trojan bħala libreriji ta' reklamar u analitiċi magħrufa. Ladarba miżjuda mal-programmi trasportatur, inbniet fl-SDKs eżistenti minn Facebook u Adjust, ħabi fost il-komponenti tagħhom.
Barra minn hekk, il-cliker attakka lill-utenti b'mod selettiv: ma wettaq l-ebda azzjonijiet malizzjużi jekk il-vittma potenzjali ma kinitx residenti ta 'wieħed mill-pajjiżi ta' interess għall-attakkanti.
Hawn taħt hawn eżempji ta’ applikazzjonijiet bi Trojan inkorporat fihom:
Wara l-installazzjoni u t-tnedija tal-cliker (minn hawn 'il quddiem, il-modifika tiegħu se tintuża bħala eżempju ) jipprova jaċċessa n-notifiki tas-sistema operattiva billi juri t-talba li ġejja:
Jekk l-utent jaqbel li jagħtih il-permessi meħtieġa, it-Trojan ikun jista 'jaħbi n-notifiki kollha dwar l-SMS deħlin u jinterċetta testi ta' messaġġi.
Sussegwentement, il-cliker jittrasmetti dejta teknika dwar l-apparat infettat lis-server tal-kontroll u jiċċekkja n-numru tas-serje tal-SIM card tal-vittma. Jekk taqbel ma' wieħed mill-pajjiżi fil-mira, jibgħat lis-server informazzjoni dwar in-numru tat-telefon assoċjat miegħu. Fl-istess ħin, il-cliker juri lill-utenti minn ċerti pajjiżi tieqa tal-phishing fejn jitolbuhom biex idaħħlu numru jew jidħlu fil-kont Google tagħhom:
Jekk is-SIM card tal-vittma ma tappartjenix għall-pajjiż ta 'interess għall-attakkanti, it-Trojan ma jieħu l-ebda azzjoni u jwaqqaf l-attività malizzjuża tiegħu. Il-modifiki riċerkati tal-cliker jattakkaw lir-residenti tal-pajjiżi li ġejjin:
- Awstrija
- Italja
- Franza
- Tajlandja
- Malasja
- Il-Ġermanja
- Qatar
- Il-Polonja
- Il-Greċja
- L-Irlanda
Wara li tittrasmetti l-informazzjoni tan-numru jistenna għall-kmandi mis-server tal-ġestjoni. Tibgħat kompiti lit-Trojan, li fihom l-indirizzi tal-websajts biex jitniżżlu u jikkodifikaw fil-format JavaScript. Dan il-kodiċi jintuża biex jikkontrolla l-cliker permezz tal-JavascriptInterface, juri messaġġi pop-up fuq it-tagħmir, iwettaq klikks fuq paġni tal-web, u azzjonijiet oħra.
Wara li rċeviet l-indirizz tas-sit, jiftaħ f'WebView inviżibbli, fejn jitgħabba wkoll il-JavaScript aċċettat qabel b'parametri għall-klikks. Wara li tiftaħ websajt b'servizz premium, it-Trojan awtomatikament jikklikkja fuq il-links u l-buttuni meħtieġa. Imbagħad jirċievi kodiċi ta 'verifika mill-SMS u b'mod indipendenti jikkonferma l-abbonament.
Minkejja l-fatt li l-cliker m'għandux il-funzjoni li jaħdem bl-SMS u jaċċessa messaġġi, jevita din il-limitazzjoni. Imur hekk. Is-servizz Trojan jimmonitorja notifiki mill-applikazzjoni, li awtomatikament hija assenjata biex taħdem bl-SMS. Meta jasal messaġġ, is-servizz jaħbi n-notifika tas-sistema korrispondenti. Imbagħad estratti informazzjoni dwar l-SMS riċevut minnu u jittrasmettiha lir-riċevitur tax-xandir Trojan. Bħala riżultat, l-utent ma jara l-ebda notifika dwar l-SMS deħlin u ma jkunx konxju ta 'dak li qed jiġri. Jitgħallem dwar l-abbonament għas-servizz biss meta l-flus jibdew jisparixxu mill-kont tiegħu, jew meta jmur fil-menu tal-messaġġi u jara SMS relatati mas-servizz premium.
Wara li speċjalisti Doctor Web kkuntattjaw lil Google, l-applikazzjonijiet malizzjużi misjuba tneħħew minn Google Play. Il-modifiki magħrufa kollha ta 'dan il-cliker jiġu skoperti u mneħħija b'suċċess mill-prodotti anti-virus Dr.Web għal Android u għalhekk ma joħolqux theddida għall-utenti tagħna.
Sors: www.habr.com