Doctor Web heeft een Trojaanse clicker ontdekt in de officiële Android-applicatiecatalogus die gebruikers automatisch kan abonneren op betaalde diensten. Virusanalisten hebben verschillende modificaties van dit schadelijke programma geïdentificeerd, die de namen . , и Om hun werkelijke doel te verbergen en de kans te verkleinen dat ze de Trojan zouden detecteren, maakten de aanvallers gebruik van verschillende technieken.
In de eerste plaatsZe bouwden de clicker in in onschuldige apps – camera's en beeldverzamelingen – die de beoogde functies uitvoerden, waardoor gebruikers en beveiligingsprofessionals geen duidelijke reden hadden om ze als een bedreiging te beschouwen.
In de tweede plaatsAlle malware werd beschermd door de commerciële software Jiagu, wat detectie door antivirusprogramma's bemoeilijkt en codeanalyse bemoeilijkt. Daardoor had de Trojan een grotere kans om detectie te vermijden dankzij de ingebouwde bescherming van de Google Play-catalogus.
Ten derdeVirusschrijvers probeerden de Trojan te vermommen als bekende advertentie- en analysebibliotheken. Nadat ze deze aan de dragerprogramma's hadden toegevoegd, werd deze ingebed in de SDK's van Facebook en Adjust, verborgen tussen hun componenten.
Bovendien viel de clicker gebruikers selectief aan: er werden geen schadelijke acties uitgevoerd als het potentiële slachtoffer geen inwoner was van een van de landen waarin de aanvallers geïnteresseerd waren.
Hieronder vindt u voorbeelden van applicaties waarin een Trojaans paard is ingebouwd:
Na het installeren en starten van de clicker (hier en hieronder wordt de modificatie ervan als voorbeeld gebruikt) ) probeert toegang te krijgen tot de meldingen van het besturingssysteem door de volgende aanvraag weer te geven:
Als de gebruiker akkoord gaat met de benodigde rechten, kan de Trojan alle meldingen over inkomende SMS-berichten verbergen en tekstberichten onderscheppen.
De clicker stuurt vervolgens technische gegevens over het geïnfecteerde apparaat naar de controleserver en controleert het serienummer van de simkaart van het slachtoffer. Als dit overeenkomt met een van de doellanden, Stuurt informatie over het gekoppelde telefoonnummer naar de server. Tegelijkertijd toont de clicker gebruikers uit bepaalde landen een phishingvenster, waarin ze gevraagd worden het nummer zelf in te voeren of in te loggen op hun Google-account.
Als de simkaart van het slachtoffer niet in het land van interesse van de aanvallers voorkomt, onderneemt de Trojan geen actie en stopt de kwaadaardige activiteit. De bestudeerde modificaties van de clickeraanval zijn afkomstig uit de volgende landen:
- Oostenrijk
- Italië
- Frankrijk
- Thailand
- Maleisië
- Duitsland
- Katar
- Polen
- Griekenland
- Ierland
Na het overdragen van informatie over het nummer Wacht op opdrachten van de besturingsserver. Het stuurt de Trojaanse taken, die websiteadressen bevatten, naar downloads en JavaScript-code. Deze code wordt gebruikt om de clicker te besturen via de JavascriptInterface-interface, pop-upberichten op het apparaat weer te geven, op webpagina's te klikken en andere acties uit te voeren.
Nadat u het websiteadres hebt ontvangen, Opent deze in een onzichtbare webweergave, waar ook de eerder geaccepteerde JavaScript-code met klikparameters wordt geladen. Na het openen van de site met de premiumservice klikt de Trojan automatisch op de benodigde links en knoppen. Vervolgens ontvangt hij verificatiecodes per sms en bevestigt hij zelfstandig de aanmelding.
Hoewel de clicker niet de functie heeft om met sms-berichten te werken en berichten te openen, omzeilt hij deze beperking. Dit gebeurt op de volgende manier. De Trojan-service controleert meldingen van de applicatie, die standaard is toegewezen om met sms-berichten te werken. Wanneer een bericht wordt ontvangen, verbergt de service de bijbehorende systeemmelding. Vervolgens haalt de service informatie over het ontvangen sms-bericht eruit en stuurt deze door naar de Trojan-broadcastontvanger. Hierdoor ziet de gebruiker geen meldingen over inkomende sms-berichten en is hij zich niet bewust van wat er gebeurt. Hij komt pas op de hoogte van het abonnement op de service wanneer er geld van zijn rekening begint te verdwijnen, of wanneer hij naar het berichtenmenu gaat en sms-berichten ziet die betrekking hebben op de premiumservice.
Nadat de specialisten van Doctor Web contact hadden opgenomen met Google, werden de gedetecteerde schadelijke apps van Google Play verwijderd. Alle bekende wijzigingen van deze clicker worden succesvol gedetecteerd en verwijderd door de antivirusproducten van Dr.Web voor Android en vormen daarom geen bedreiging voor onze gebruikers.
Bron: www.habr.com
