Doctor Web a descoperit în catalogul oficial al aplicațiilor Android un troian clicker care este capabil să aboneze automat utilizatorii la servicii plătite. Analiștii de viruși au identificat mai multe modificări ale acestui program rău intenționat, numit , и . Pentru a-și ascunde adevăratul scop și, de asemenea, pentru a reduce probabilitatea de detectare a troianului, atacatorii au folosit mai multe tehnici.
În primul rând, au construit clickere în aplicații inofensive — camere și colecții de imagini — care și-au îndeplinit funcțiile propuse. Drept urmare, nu a existat un motiv clar pentru utilizatorii și profesioniștii în securitatea informațiilor să le considere o amenințare.
În al doilea rând, toate programele malware au fost protejate de pachetul comercial Jiagu, ceea ce complică detectarea de către antivirusuri și complică analiza codului. În acest fel, troianul a avut șanse mai mari de a evita detectarea prin protecția încorporată a directorului Google Play.
În al treilea rând, autorii de viruși au încercat să mascheze troianul în biblioteci de publicitate și analitice binecunoscute. Odată adăugat la programele de transport, a fost integrat în SDK-urile existente de la Facebook și Adjust, ascunzându-se printre componentele lor.
În plus, clicker-ul a atacat utilizatorii selectiv: nu a efectuat nicio acțiune rău intenționată dacă potențiala victimă nu era rezidentă a uneia dintre țările de interes pentru atacatori.
Mai jos sunt exemple de aplicații cu un troian încorporat în ele:
După instalarea și lansarea clickerului (în continuare, modificarea acestuia va fi folosită ca exemplu ) încearcă să acceseze notificările sistemului de operare afișând următoarea solicitare:
Dacă utilizatorul este de acord să-i acorde permisiunile necesare, troianul va putea ascunde toate notificările despre SMS-urile primite și va putea intercepta textele mesajelor.
Apoi, clickerul transmite date tehnice despre dispozitivul infectat către serverul de control și verifică numărul de serie al cartelei SIM a victimei. Dacă se potrivește cu una dintre țările țintă, trimite către server informații despre numărul de telefon asociat cu acesta. În același timp, clicker-ul le arată utilizatorilor din anumite țări o fereastră de phishing în care le solicită să introducă un număr sau să se conecteze la contul lor Google:
Dacă cartela SIM a victimei nu aparține țării de interes pentru atacatori, troianul nu ia nicio măsură și își oprește activitatea rău intenționată. Modificările cercetate ale clicker-ului atacă rezidenții din următoarele țări:
- Austria
- Italia
- Franța
- Tailanda
- Malaezia
- Germania
- Qatar
- Polonia
- Grecia
- Irlanda
După transmiterea informațiilor despre număr așteaptă comenzi de la serverul de management. Trimite sarcini către troian, care conțin adresele site-urilor web de descărcat și codat în format JavaScript. Acest cod este folosit pentru a controla clicker-ul prin JavascriptInterface, pentru a afișa mesaje pop-up pe dispozitiv, pentru a efectua clicuri pe pagini web și pentru alte acțiuni.
După ce a primit adresa site-ului, îl deschide într-un WebView invizibil, unde este încărcat și JavaScript acceptat anterior cu parametri pentru clicuri. După deschiderea unui site web cu un serviciu premium, troianul dă automat clic pe linkurile și butoanele necesare. În continuare, el primește coduri de verificare din SMS și confirmă independent abonamentul.
În ciuda faptului că clicker-ul nu are funcția de a lucra cu SMS-uri și de a accesa mesaje, ocolește această limitare. Merge așa. Serviciul troian monitorizează notificările din aplicație, care în mod implicit este atribuită să funcționeze cu SMS. Când sosește un mesaj, serviciul ascunde notificarea de sistem corespunzătoare. Apoi extrage informații despre SMS-ul primit din acesta și le transmite receptorului de transmisie troian. Drept urmare, utilizatorul nu vede notificări despre SMS-urile primite și nu este conștient de ceea ce se întâmplă. Învață despre abonamentul la serviciu doar atunci când banii încep să dispară din cont sau când intră în meniul de mesaje și vede SMS-uri legate de serviciul premium.
După ce specialiștii Doctor Web au contactat Google, aplicațiile rău intenționate detectate au fost eliminate de pe Google Play. Toate modificările cunoscute ale acestui clicker sunt detectate și eliminate cu succes de produsele antivirus Dr.Web pentru Android și, prin urmare, nu reprezintă o amenințare pentru utilizatorii noștri.
Sursa: www.habr.com