Doctor Web descobriu um Trojan clicker no catálogo oficial de aplicativos Android que é capaz de inscrever automaticamente usuários em serviços pagos. Os analistas de vírus identificaram várias modificações deste programa malicioso, chamado
Em primeiro lugar, eles incorporaram clickers em aplicativos inócuos – câmeras e coleções de imagens – que executavam as funções pretendidas. Como resultado, não havia nenhuma razão clara para que os utilizadores e profissionais de segurança da informação os considerassem uma ameaça.
em segundo lugar, todo o malware foi protegido pelo empacotador comercial Jiagu, o que complica a detecção por antivírus e complica a análise do código. Dessa forma, o Trojan teve mais chances de evitar a detecção pela proteção integrada do diretório do Google Play.
Em terceiro lugar, os criadores de vírus tentaram disfarçar o Trojan como bibliotecas analíticas e de publicidade bem conhecidas. Uma vez adicionado aos programas das operadoras, ele foi integrado aos SDKs existentes do Facebook e da Adjust, ocultando-se entre seus componentes.
Além disso, o clicker atacava os usuários de forma seletiva: não realizava nenhuma ação maliciosa se a potencial vítima não fosse residente de um dos países de interesse dos atacantes.
Abaixo estão exemplos de aplicativos com um Trojan incorporado:
Depois de instalar e iniciar o clicker (doravante, sua modificação será usada como exemplo
Se o usuário concordar em conceder-lhe as permissões necessárias, o Trojan será capaz de ocultar todas as notificações sobre SMS recebidos e interceptar textos de mensagens.
Em seguida, o clicker transmite dados técnicos sobre o dispositivo infectado para o servidor de controle e verifica o número de série do cartão SIM da vítima. Se corresponder a um dos países-alvo,
Se o cartão SIM da vítima não pertencer ao país de interesse dos invasores, o Trojan não toma nenhuma ação e interrompe sua atividade maliciosa. As modificações pesquisadas do clicker atacam residentes dos seguintes países:
- Áustria
- Itália
- França
- Tailândia
- Malásia
- Alemanha
- Catar
- Polônia
- Grécia
- Irlanda
Depois de transmitir as informações do número
Tendo recebido o endereço do site,
Apesar de o clicker não ter a função de trabalhar com SMS e acessar mensagens, ele contorna essa limitação. É assim. O serviço Trojan monitora notificações do aplicativo, que por padrão é designado para funcionar com SMS. Quando chega uma mensagem, o serviço oculta a notificação do sistema correspondente. Em seguida, ele extrai informações sobre o SMS recebido e as transmite para o receptor de transmissão Trojan. Como resultado, o usuário não vê nenhuma notificação sobre o recebimento de SMS e não tem conhecimento do que está acontecendo. Ele só fica sabendo da assinatura do serviço quando o dinheiro começa a sumir de sua conta, ou quando vai ao menu de mensagens e vê SMS relacionados ao serviço premium.
Depois que os especialistas da Doctor Web contataram o Google, os aplicativos maliciosos detectados foram removidos do Google Play. Todas as modificações conhecidas deste clicker são detectadas e removidas com sucesso pelos produtos antivírus Dr.Web para Android e, portanto, não representam uma ameaça para nossos usuários.