Doctor Web heeft in de officiële catalogus van Android-applicaties een clicker-trojan ontdekt die gebruikers automatisch kan abonneren op betaalde services. Virusanalisten hebben verschillende wijzigingen van dit kwaadaardige programma geïdentificeerd, genaamd
In de eerste plaatsbouwden ze clickers in onschadelijke toepassingen (camera's en beeldcollecties) die de beoogde functies vervulden. Als gevolg hiervan was er geen duidelijke reden voor gebruikers en informatiebeveiligingsprofessionals om ze als een bedreiging te beschouwen.
In de tweede plaats, werd alle malware beschermd door de commerciële Jiagu-packer, wat de detectie door antivirusprogramma's en de code-analyse bemoeilijkt. Op deze manier had de Trojan een betere kans om detectie te vermijden door de ingebouwde bescherming van de Google Play-directory.
Ten derdeprobeerden virusschrijvers het Trojaanse paard te vermommen als bekende advertentie- en analytische bibliotheken. Eenmaal toegevoegd aan de carrierprogramma's, werd het ingebouwd in de bestaande SDK's van Facebook en Adjust, verborgen tussen hun componenten.
Bovendien viel de clicker gebruikers selectief aan: hij voerde geen kwaadaardige acties uit als het potentiële slachtoffer geen inwoner was van een van de landen die van belang waren voor de aanvallers.
Hieronder vindt u voorbeelden van toepassingen waarin een Trojaans paard is ingebed:
Na het installeren en starten van de clicker (hierna zal de wijziging ervan als voorbeeld worden gebruikt).
Als de gebruiker ermee instemt hem de nodige machtigingen te verlenen, kan de Trojan alle meldingen over inkomende sms-berichten verbergen en berichtteksten onderscheppen.
Vervolgens verzendt de clicker technische gegevens over het geïnfecteerde apparaat naar de controleserver en controleert het serienummer van de simkaart van het slachtoffer. Als het overeenkomt met een van de doellanden,
Als de simkaart van het slachtoffer niet tot het land behoort waarin de aanvallers geïnteresseerd zijn, onderneemt het Trojaanse paard geen actie en stopt het zijn kwaadaardige activiteiten. De onderzochte aanpassingen van de clicker vallen inwoners van de volgende landen aan:
- Oostenrijk
- Italië
- Frankrijk
- Thailand
- Maleisië
- Duitsland
- Katar
- Polen
- Griekenland
- Ierland
Na het verzenden van de nummerinformatie
Na ontvangst van het locatieadres,
Ondanks dat de clicker niet de functie heeft om met sms te werken en toegang te krijgen tot berichten, omzeilt hij deze beperking. Het gaat als volgt. De Trojan-service controleert meldingen van de applicatie, die standaard is toegewezen om met sms te werken. Wanneer er een bericht binnenkomt, verbergt de service de bijbehorende systeemmelding. Vervolgens haalt het informatie over de ontvangen sms eruit en verzendt deze naar de Trojan-broadcastontvanger. Hierdoor ziet de gebruiker geen meldingen over binnenkomende SMS en is hij niet op de hoogte van wat er gebeurt. Hij leert pas hoe hij zich op de dienst kan abonneren wanneer het geld van zijn rekening begint te verdwijnen, of wanneer hij naar het berichtenmenu gaat en sms-berichten ziet die verband houden met de premiumdienst.
Nadat Doctor Web-specialisten contact hadden opgenomen met Google, werden de gedetecteerde kwaadaardige applicaties verwijderd van Google Play. Alle bekende wijzigingen van deze clicker worden met succes gedetecteerd en verwijderd door Dr.Web antivirusproducten voor Android en vormen daarom geen bedreiging voor onze gebruikers.
Bron: www.habr.com