Doctor Web a descoperit în catalogul oficial al aplicațiilor Android un troian clicker care este capabil să aboneze automat utilizatorii la servicii plătite. Analiștii de viruși au identificat mai multe modificări ale acestui program rău intenționat, numit
În primul rând, au construit clickere în aplicații inofensive — camere și colecții de imagini — care și-au îndeplinit funcțiile propuse. Drept urmare, nu a existat un motiv clar pentru utilizatorii și profesioniștii în securitatea informațiilor să le considere o amenințare.
În al doilea rând, toate programele malware au fost protejate de pachetul comercial Jiagu, ceea ce complică detectarea de către antivirusuri și complică analiza codului. În acest fel, troianul a avut șanse mai mari de a evita detectarea prin protecția încorporată a directorului Google Play.
În al treilea rând, autorii de viruși au încercat să mascheze troianul în biblioteci de publicitate și analitice binecunoscute. Odată adăugat la programele de transport, a fost integrat în SDK-urile existente de la Facebook și Adjust, ascunzându-se printre componentele lor.
În plus, clicker-ul a atacat utilizatorii selectiv: nu a efectuat nicio acțiune rău intenționată dacă potențiala victimă nu era rezidentă a uneia dintre țările de interes pentru atacatori.
Mai jos sunt exemple de aplicații cu un troian încorporat în ele:
După instalarea și lansarea clickerului (în continuare, modificarea acestuia va fi folosită ca exemplu
Dacă utilizatorul este de acord să-i acorde permisiunile necesare, troianul va putea ascunde toate notificările despre SMS-urile primite și va putea intercepta textele mesajelor.
Apoi, clickerul transmite date tehnice despre dispozitivul infectat către serverul de control și verifică numărul de serie al cartelei SIM a victimei. Dacă se potrivește cu una dintre țările țintă,
Dacă cartela SIM a victimei nu aparține țării de interes pentru atacatori, troianul nu ia nicio măsură și își oprește activitatea rău intenționată. Modificările cercetate ale clicker-ului atacă rezidenții din următoarele țări:
- Austria
- Italia
- Franța
- Tailanda
- Malaezia
- Germania
- Qatar
- Polonia
- Grecia
- Irlanda
După transmiterea informațiilor despre număr
După ce a primit adresa site-ului,
În ciuda faptului că clicker-ul nu are funcția de a lucra cu SMS-uri și de a accesa mesaje, ocolește această limitare. Merge așa. Serviciul troian monitorizează notificările din aplicație, care în mod implicit este atribuită să funcționeze cu SMS. Când sosește un mesaj, serviciul ascunde notificarea de sistem corespunzătoare. Apoi extrage informații despre SMS-ul primit din acesta și le transmite receptorului de transmisie troian. Drept urmare, utilizatorul nu vede notificări despre SMS-urile primite și nu este conștient de ceea ce se întâmplă. Învață despre abonamentul la serviciu doar atunci când banii încep să dispară din cont sau când intră în meniul de mesaje și vede SMS-uri legate de serviciul premium.
După ce specialiștii Doctor Web au contactat Google, aplicațiile rău intenționate detectate au fost eliminate de pe Google Play. Toate modificările cunoscute ale acestui clicker sunt detectate și eliminate cu succes de produsele antivirus Dr.Web pentru Android și, prin urmare, nu reprezintă o amenințare pentru utilizatorii noștri.
Sursa: www.habr.com