Doctor Web heeft in de officiële catalogus van Android-applicaties een clicker-trojan ontdekt die gebruikers automatisch kan abonneren op betaalde services. Virusanalisten hebben verschillende wijzigingen van dit kwaadaardige programma geïdentificeerd, genaamd , и . Om hun ware doel te verbergen en ook de kans op detectie van de Trojan te verkleinen, gebruikten aanvallers verschillende technieken.
In de eerste plaatsbouwden ze clickers in onschadelijke toepassingen (camera's en beeldcollecties) die de beoogde functies vervulden. Als gevolg hiervan was er geen duidelijke reden voor gebruikers en informatiebeveiligingsprofessionals om ze als een bedreiging te beschouwen.
In de tweede plaats, werd alle malware beschermd door de commerciële Jiagu-packer, wat de detectie door antivirusprogramma's en de code-analyse bemoeilijkt. Op deze manier had de Trojan een betere kans om detectie te vermijden door de ingebouwde bescherming van de Google Play-directory.
Ten derdeprobeerden virusschrijvers het Trojaanse paard te vermommen als bekende advertentie- en analytische bibliotheken. Eenmaal toegevoegd aan de carrierprogramma's, werd het ingebouwd in de bestaande SDK's van Facebook en Adjust, verborgen tussen hun componenten.
Bovendien viel de clicker gebruikers selectief aan: hij voerde geen kwaadaardige acties uit als het potentiële slachtoffer geen inwoner was van een van de landen die van belang waren voor de aanvallers.
Hieronder vindt u voorbeelden van toepassingen waarin een Trojaans paard is ingebed:
Na het installeren en starten van de clicker (hierna zal de wijziging ervan als voorbeeld worden gebruikt). ) probeert toegang te krijgen tot meldingen van het besturingssysteem door het volgende verzoek weer te geven:
Als de gebruiker ermee instemt hem de nodige machtigingen te verlenen, kan de Trojan alle meldingen over inkomende sms-berichten verbergen en berichtteksten onderscheppen.
Vervolgens verzendt de clicker technische gegevens over het geïnfecteerde apparaat naar de controleserver en controleert het serienummer van de simkaart van het slachtoffer. Als het overeenkomt met een van de doellanden, verzendt naar de server informatie over het bijbehorende telefoonnummer. Tegelijkertijd toont de clicker gebruikers uit bepaalde landen een phishing-venster waarin ze hen vragen een nummer in te voeren of in te loggen op hun Google-account:
Als de simkaart van het slachtoffer niet tot het land behoort waarin de aanvallers geïnteresseerd zijn, onderneemt het Trojaanse paard geen actie en stopt het zijn kwaadaardige activiteiten. De onderzochte aanpassingen van de clicker vallen inwoners van de volgende landen aan:
- Oostenrijk
- Italië
- Frankrijk
- Thailand
- Maleisië
- Duitsland
- Katar
- Polen
- Griekenland
- Ierland
Na het verzenden van de nummerinformatie wacht op opdrachten van de beheerserver. Het stuurt taken naar de Trojan, die de adressen van websites bevatten die moeten worden gedownload en gecodeerd in JavaScript-indeling. Deze code wordt gebruikt om de clicker via de JavascriptInterface te besturen, pop-upberichten op het apparaat weer te geven, klikken op webpagina's uit te voeren en andere acties.
Na ontvangst van het locatieadres, opent het in een onzichtbare WebView, waar ook het eerder geaccepteerde JavaScript met parameters voor klikken wordt geladen. Na het openen van een website met een premium service klikt de Trojan automatisch op de benodigde links en knoppen. Vervolgens ontvangt hij verificatiecodes via sms en bevestigt hij zelfstandig het abonnement.
Ondanks dat de clicker niet de functie heeft om met sms te werken en toegang te krijgen tot berichten, omzeilt hij deze beperking. Het gaat als volgt. De Trojan-service controleert meldingen van de applicatie, die standaard is toegewezen om met sms te werken. Wanneer er een bericht binnenkomt, verbergt de service de bijbehorende systeemmelding. Vervolgens haalt het informatie over de ontvangen sms eruit en verzendt deze naar de Trojan-broadcastontvanger. Hierdoor ziet de gebruiker geen meldingen over binnenkomende SMS en is hij niet op de hoogte van wat er gebeurt. Hij leert pas hoe hij zich op de dienst kan abonneren wanneer het geld van zijn rekening begint te verdwijnen, of wanneer hij naar het berichtenmenu gaat en sms-berichten ziet die verband houden met de premiumdienst.
Nadat Doctor Web-specialisten contact hadden opgenomen met Google, werden de gedetecteerde kwaadaardige applicaties verwijderd van Google Play. Alle bekende wijzigingen van deze clicker worden met succes gedetecteerd en verwijderd door Dr.Web antivirusproducten voor Android en vormen daarom geen bedreiging voor onze gebruikers.
Bron: www.habr.com