Doctor Web har oppdaget en klikker-trojaner i den offisielle katalogen over Android-applikasjoner som er i stand til automatisk å abonnere på betalte tjenester. Virusanalytikere har identifisert flere modifikasjoner av dette ondsinnede programmet, kalt , и . For å skjule deres sanne formål og også redusere sannsynligheten for oppdagelse av trojaneren, brukte angripere flere teknikker.
Først, bygget de klikkere inn i ufarlige applikasjoner – kameraer og bildesamlinger – som utførte sine tiltenkte funksjoner. Som et resultat var det ingen klar grunn for brukere og informasjonssikkerhetseksperter til å se på dem som en trussel.
Dernest, ble all skadelig programvare beskyttet av den kommersielle Jiagu-pakkeren, som kompliserer deteksjon av antivirus og kompliserer kodeanalyse. På denne måten hadde trojaneren en bedre sjanse til å unngå gjenkjenning av den innebygde beskyttelsen til Google Play-katalogen.
For det tredje, prøvde virusforfattere å skjule trojaneren som kjente reklame- og analytiske biblioteker. Når den ble lagt til operatørprogrammene, ble den innebygd i de eksisterende SDK-ene fra Facebook og Adjust, og skjulte seg blant komponentene deres.
I tillegg angrep klikkeren brukere selektivt: den utførte ingen ondsinnede handlinger hvis det potensielle offeret ikke var bosatt i et av landene av interesse for angriperne.
Nedenfor er eksempler på applikasjoner med en trojaner innebygd i dem:
Etter at du har installert og startet klikkeren (heretter vil modifikasjonen bli brukt som et eksempel ) prøver å få tilgang til operativsystemvarslinger ved å vise følgende forespørsel:
Hvis brukeren godtar å gi ham de nødvendige tillatelsene, vil trojaneren kunne skjule alle varsler om innkommende SMS og avskjære meldingstekster.
Deretter overfører klikkeren tekniske data om den infiserte enheten til kontrollserveren og sjekker serienummeret til offerets SIM-kort. Hvis det samsvarer med et av mållandene, sender til serveren informasjon om telefonnummeret som er knyttet til det. Samtidig viser klikkeren brukere fra visse land et phishing-vindu der de ber dem angi et nummer eller logge på Google-kontoen sin:
Hvis offerets SIM-kort ikke tilhører landet av interesse for angriperne, tar ikke trojaneren noen handling og stopper sin ondsinnede aktivitet. De undersøkte modifikasjonene av klikkerangrepet innbyggere i følgende land:
- Østerrike
- Italia
- Frankrike
- Thailand
- Malaysia
- Tyskland
- Qatar
- Polen
- Hellas
- Irland
Etter å ha overført nummerinformasjonen venter på kommandoer fra administrasjonsserveren. Den sender oppgaver til trojaneren, som inneholder adressene til nettsteder som skal lastes ned og kode i JavaScript-format. Denne koden brukes til å kontrollere klikkeren gjennom Javascript-grensesnittet, vise popup-meldinger på enheten, utføre klikk på nettsider og andre handlinger.
Etter å ha mottatt nettstedets adresse, åpner den i en usynlig WebView, hvor tidligere akseptert JavaScript med parametere for klikk også lastes inn. Etter å ha åpnet et nettsted med en premiumtjeneste, klikker trojaneren automatisk på de nødvendige koblingene og knappene. Deretter mottar han bekreftelseskoder fra SMS og bekrefter abonnementet uavhengig.
Til tross for at klikkeren ikke har funksjonen til å jobbe med SMS og få tilgang til meldinger, omgår den denne begrensningen. Det går slik. Den trojanske tjenesten overvåker varsler fra applikasjonen, som som standard er tilordnet til å fungere med SMS. Når en melding kommer, skjuler tjenesten den tilsvarende systemvarslingen. Deretter trekker den ut informasjon om den mottatte SMS-en fra den og overfører den til den trojanske kringkastingsmottakeren. Som et resultat ser ikke brukeren noen varsler om innkommende SMS og er ikke klar over hva som skjer. Han lærer om å abonnere på tjenesten først når penger begynner å forsvinne fra kontoen hans, eller når han går til meldingsmenyen og ser SMS relatert til premiumtjenesten.
Etter at Doctor Web-spesialister kontaktet Google, ble de oppdagede ondsinnede applikasjonene fjernet fra Google Play. Alle kjente modifikasjoner av denne klikkeren blir oppdaget og fjernet av Dr.Web antivirusprodukter for Android og utgjør derfor ikke en trussel for brukerne våre.
Kilde: www.habr.com
