Doctor Web odkrył w oficjalnym katalogu aplikacji na Androida trojana klikającego, który potrafi automatycznie subskrybować użytkowników do płatnych usług. Analitycy wirusów zidentyfikowali kilka modyfikacji tego szkodliwego programu, tzw , и . Aby ukryć swój prawdziwy cel, a także zmniejszyć prawdopodobieństwo wykrycia trojana, napastnicy zastosowali kilka technik.
Po pierwszewbudowali klikery w nieszkodliwe aplikacje — kamery i kolekcje obrazów — które wykonywały zamierzone funkcje. W rezultacie użytkownicy i specjaliści ds. bezpieczeństwa informacji nie mieli wyraźnego powodu, aby postrzegać je jako zagrożenie.
Po drugie, całe złośliwe oprogramowanie było chronione przez komercyjny program pakujący Jiagu, co komplikuje wykrywanie przez programy antywirusowe i komplikuje analizę kodu. W ten sposób trojan miał większe szanse na uniknięcie wykrycia przez wbudowaną ochronę katalogu Google Play.
Po trzecietwórcy wirusów próbowali zamaskować trojana pod postacią dobrze znanych bibliotek reklamowych i analitycznych. Po dodaniu do programów operatora, został wbudowany w istniejące pakiety SDK Facebooka i Dopasowania, ukrywając się wśród ich komponentów.
Ponadto kliker atakował użytkowników selektywnie: nie wykonywał żadnych szkodliwych działań, jeśli potencjalna ofiara nie była mieszkańcem jednego z krajów będących przedmiotem zainteresowania atakujących.
Poniżej znajdują się przykłady aplikacji z osadzonym w nich trojanem:
Po zainstalowaniu i uruchomieniu klikera (w dalszej części jego modyfikacja będzie służyć jako przykład). ) próbuje uzyskać dostęp do powiadomień systemu operacyjnego, wyświetlając następujące żądanie:
Jeśli użytkownik zgodzi się udzielić mu niezbędnych uprawnień, trojan będzie mógł ukryć wszystkie powiadomienia o przychodzących SMS-ach i przechwycić teksty wiadomości.
Następnie kliker przesyła dane techniczne zainfekowanego urządzenia do serwera kontrolnego i sprawdza numer seryjny karty SIM ofiary. Jeśli pasuje do jednego z krajów docelowych, wysyła do serwera informację o powiązanym z nim numerze telefonu. Jednocześnie kliker wyświetla użytkownikom z niektórych krajów okno phishingowe, w którym proszą ich o podanie numeru lub zalogowanie się na konto Google:
Jeżeli karta SIM ofiary nie należy do kraju będącego przedmiotem zainteresowania atakujących, trojan nie podejmuje żadnych działań i zatrzymuje swoją szkodliwą aktywność. Badane modyfikacje klikera atakują mieszkańców następujących krajów:
- Austria
- Włochy
- Francja
- Tajlandia
- Malezja
- Niemcy
- Katar
- Polska
- Grecja
- Irlandia
Po przesłaniu informacji o numerze czeka na polecenia z serwera zarządzania. Wysyła do trojana zadania, które zawierają adresy stron internetowych do pobrania i zakodowania w formacie JavaScript. Kod ten służy do sterowania pilotem poprzez interfejs JavaScript, wyświetlania wyskakujących komunikatów na urządzeniu, wykonywania kliknięć na stronach internetowych i innych działań.
Po otrzymaniu adresu strony, otwiera go w niewidocznym WebView, gdzie ładowany jest również zaakceptowany wcześniej JavaScript z parametrami dla kliknięć. Po otwarciu strony internetowej z usługą premium trojan automatycznie klika niezbędne linki i przyciski. Następnie otrzymuje kody weryfikacyjne z SMS-a i samodzielnie potwierdza subskrypcję.
Pomimo tego, że kliker nie posiada funkcji pracy z SMS-ami i dostępu do wiadomości, omija to ograniczenie. To idzie tak. Usługa trojana monitoruje powiadomienia z aplikacji, która domyślnie jest przypisana do pracy z SMS-ami. Po nadejściu wiadomości usługa ukrywa odpowiednie powiadomienie systemowe. Następnie wyodrębnia z niego informacje o odebranej wiadomości SMS i przesyła je do odbiornika transmisji trojana. W rezultacie użytkownik nie widzi żadnych powiadomień o przychodzących SMS-ach i nie jest świadomy tego, co się dzieje. O zapisaniu się do usługi dowiaduje się dopiero wtedy, gdy z jego konta zaczynają znikać pieniądze lub gdy wejdzie do menu wiadomości i zobaczy SMS-y powiązane z usługą premium.
Po tym, jak specjaliści Doctor Web skontaktowali się z Google, wykryte złośliwe aplikacje zostały usunięte z Google Play. Wszystkie znane modyfikacje tego pilota są skutecznie wykrywane i usuwane przez produkty antywirusowe Dr.Web dla systemu Android i dlatego nie stanowią zagrożenia dla naszych użytkowników.
Źródło: www.habr.com