Doctor Web odkrył w oficjalnym katalogu aplikacji na Androida trojana klikającego, który potrafi automatycznie subskrybować użytkowników do płatnych usług. Analitycy wirusów zidentyfikowali kilka modyfikacji tego szkodliwego programu, tzw
Po pierwszewbudowali klikery w nieszkodliwe aplikacje — kamery i kolekcje obrazów — które wykonywały zamierzone funkcje. W rezultacie użytkownicy i specjaliści ds. bezpieczeństwa informacji nie mieli wyraźnego powodu, aby postrzegać je jako zagrożenie.
Po drugie, całe złośliwe oprogramowanie było chronione przez komercyjny program pakujący Jiagu, co komplikuje wykrywanie przez programy antywirusowe i komplikuje analizę kodu. W ten sposób trojan miał większe szanse na uniknięcie wykrycia przez wbudowaną ochronę katalogu Google Play.
Po trzecietwórcy wirusów próbowali zamaskować trojana pod postacią dobrze znanych bibliotek reklamowych i analitycznych. Po dodaniu do programów operatora, został wbudowany w istniejące pakiety SDK Facebooka i Dopasowania, ukrywając się wśród ich komponentów.
Ponadto kliker atakował użytkowników selektywnie: nie wykonywał żadnych szkodliwych działań, jeśli potencjalna ofiara nie była mieszkańcem jednego z krajów będących przedmiotem zainteresowania atakujących.
Poniżej znajdują się przykłady aplikacji z osadzonym w nich trojanem:
Po zainstalowaniu i uruchomieniu klikera (w dalszej części jego modyfikacja będzie służyć jako przykład).
Jeśli użytkownik zgodzi się udzielić mu niezbędnych uprawnień, trojan będzie mógł ukryć wszystkie powiadomienia o przychodzących SMS-ach i przechwycić teksty wiadomości.
Następnie kliker przesyła dane techniczne zainfekowanego urządzenia do serwera kontrolnego i sprawdza numer seryjny karty SIM ofiary. Jeśli pasuje do jednego z krajów docelowych,
Jeżeli karta SIM ofiary nie należy do kraju będącego przedmiotem zainteresowania atakujących, trojan nie podejmuje żadnych działań i zatrzymuje swoją szkodliwą aktywność. Badane modyfikacje klikera atakują mieszkańców następujących krajów:
- Austria
- Włochy
- Francja
- Tajlandia
- Malezja
- Niemcy
- Katar
- Polska
- Grecja
- Irlandia
Po przesłaniu informacji o numerze
Po otrzymaniu adresu strony,
Pomimo tego, że kliker nie posiada funkcji pracy z SMS-ami i dostępu do wiadomości, omija to ograniczenie. To idzie tak. Usługa trojana monitoruje powiadomienia z aplikacji, która domyślnie jest przypisana do pracy z SMS-ami. Po nadejściu wiadomości usługa ukrywa odpowiednie powiadomienie systemowe. Następnie wyodrębnia z niego informacje o odebranej wiadomości SMS i przesyła je do odbiornika transmisji trojana. W rezultacie użytkownik nie widzi żadnych powiadomień o przychodzących SMS-ach i nie jest świadomy tego, co się dzieje. O zapisaniu się do usługi dowiaduje się dopiero wtedy, gdy z jego konta zaczynają znikać pieniądze lub gdy wejdzie do menu wiadomości i zobaczy SMS-y powiązane z usługą premium.
Po tym, jak specjaliści Doctor Web skontaktowali się z Google, wykryte złośliwe aplikacje zostały usunięte z Google Play. Wszystkie znane modyfikacje tego pilota są skutecznie wykrywane i usuwane przez produkty antywirusowe Dr.Web dla systemu Android i dlatego nie stanowią zagrożenia dla naszych użytkowników.
Źródło: www.habr.com