Doctor Web descobriu um Trojan clicker no catálogo oficial de aplicativos Android que é capaz de inscrever automaticamente usuários em serviços pagos. Os analistas de vírus identificaram várias modificações deste programa malicioso, chamado , и . Para ocultar seu verdadeiro propósito e também reduzir a probabilidade de detecção do Trojan, os invasores usaram diversas técnicas.
Em primeiro lugar, eles incorporaram clickers em aplicativos inócuos – câmeras e coleções de imagens – que executavam as funções pretendidas. Como resultado, não havia nenhuma razão clara para que os utilizadores e profissionais de segurança da informação os considerassem uma ameaça.
em segundo lugar, todo o malware foi protegido pelo empacotador comercial Jiagu, o que complica a detecção por antivírus e complica a análise do código. Dessa forma, o Trojan teve mais chances de evitar a detecção pela proteção integrada do diretório do Google Play.
Em terceiro lugar, os criadores de vírus tentaram disfarçar o Trojan como bibliotecas analíticas e de publicidade bem conhecidas. Uma vez adicionado aos programas das operadoras, ele foi integrado aos SDKs existentes do Facebook e da Adjust, ocultando-se entre seus componentes.
Além disso, o clicker atacava os usuários de forma seletiva: não realizava nenhuma ação maliciosa se a potencial vítima não fosse residente de um dos países de interesse dos atacantes.
Abaixo estão exemplos de aplicativos com um Trojan incorporado:
Depois de instalar e iniciar o clicker (doravante, sua modificação será usada como exemplo ) tenta acessar notificações do sistema operacional mostrando a seguinte solicitação:
Se o usuário concordar em conceder-lhe as permissões necessárias, o Trojan será capaz de ocultar todas as notificações sobre SMS recebidos e interceptar textos de mensagens.
Em seguida, o clicker transmite dados técnicos sobre o dispositivo infectado para o servidor de controle e verifica o número de série do cartão SIM da vítima. Se corresponder a um dos países-alvo, envia ao servidor informações sobre o número de telefone associado a ele. Ao mesmo tempo, o clicker mostra aos usuários de determinados países uma janela de phishing onde eles pedem para inserir um número ou fazer login em sua conta do Google:
Se o cartão SIM da vítima não pertencer ao país de interesse dos invasores, o Trojan não toma nenhuma ação e interrompe sua atividade maliciosa. As modificações pesquisadas do clicker atacam residentes dos seguintes países:
- Áustria
- Itália
- França
- Tailândia
- Malásia
- Alemanha
- Catar
- Polônia
- Grécia
- Irlanda
Depois de transmitir as informações do número aguarda comandos do servidor de gerenciamento. Ele envia tarefas ao Trojan, que contêm endereços de sites para download e código em formato JavaScript. Este código é usado para controlar o clicker através da JavascriptInterface, exibir mensagens pop-up no dispositivo, realizar cliques em páginas da web e outras ações.
Tendo recebido o endereço do site, abre-o em um WebView invisível, onde também é carregado o JavaScript previamente aceito com parâmetros para cliques. Depois de abrir um site com serviço premium, o Trojan clica automaticamente nos links e botões necessários. Em seguida, ele recebe códigos de verificação por SMS e confirma a assinatura de forma independente.
Apesar de o clicker não ter a função de trabalhar com SMS e acessar mensagens, ele contorna essa limitação. É assim. O serviço Trojan monitora notificações do aplicativo, que por padrão é designado para funcionar com SMS. Quando chega uma mensagem, o serviço oculta a notificação do sistema correspondente. Em seguida, ele extrai informações sobre o SMS recebido e as transmite para o receptor de transmissão Trojan. Como resultado, o usuário não vê nenhuma notificação sobre o recebimento de SMS e não tem conhecimento do que está acontecendo. Ele só fica sabendo da assinatura do serviço quando o dinheiro começa a sumir de sua conta, ou quando vai ao menu de mensagens e vê SMS relacionados ao serviço premium.
Depois que os especialistas da Doctor Web contataram o Google, os aplicativos maliciosos detectados foram removidos do Google Play. Todas as modificações conhecidas deste clicker são detectadas e removidas com sucesso pelos produtos antivírus Dr.Web para Android e, portanto, não representam uma ameaça para nossos usuários.
Fonte: habr.com