ڊاڪٽر ويب کي Android ايپليڪيشنن جي سرڪاري فهرست ۾ ڪلڪ ڪندڙ ٽروجن دريافت ڪيو آهي جيڪو خودڪار طور تي صارفين کي ادا ڪيل خدمتن جي رڪنيت حاصل ڪرڻ جي قابل آهي. وائرس تجزيه نگارن هن بدسلوڪي پروگرام جي ڪيترن ئي تبديلين جي نشاندهي ڪئي آهي، جنهن کي سڏيو ويندو آهي , и . انهن جي حقيقي مقصد کي لڪائڻ ۽ ٽرجن جي ڳولا جي امڪان کي گهٽائڻ لاء، حملي ڪندڙن ڪيترن ئي طريقن کي استعمال ڪيو.
پهريون ڀيرو، انهن ڪلڪ ڪندڙن کي معصوم ايپليڪيشنن ۾ ٺاهيو - ڪيمرا ۽ تصويري مجموعا - جيڪي انهن جي گهربل ڪم کي انجام ڏين ٿا. نتيجي طور، ڪو به واضح سبب نه هو ته صارفين ۽ معلومات سيڪيورٽي پروفيسر انهن کي خطرو طور ڏسڻ لاء.
ٻيو، سڀ مالويئر تجارتي جياگو پيڪيجر طرفان محفوظ ڪيا ويا، جيڪي اينٽي وائرس ذريعي ڳولڻ کي پيچيده ڪري ٿو ۽ ڪوڊ تجزيو کي پيچيده ڪري ٿو. هن طريقي سان، ٽرجن کي Google Play ڊاريڪٽري جي تعمير ٿيل تحفظ جي ذريعي ڳولڻ کان بچڻ جو هڪ بهتر موقعو هو.
ٽيون، وائرس ليکڪن ٽرجن کي لڪائڻ جي ڪوشش ڪئي مشهور مشهوري ۽ تجزياتي لائبريريون. هڪ دفعو ڪيريئر پروگرامن ۾ شامل ڪيو ويو، اهو موجوده SDKs ۾ ٺاهيو ويو Facebook ۽ Adjust، انهن جي اجزاء جي وچ ۾ لڪائي.
ان کان علاوه، ڪلڪ ڪندڙ صارفين تي چونڊيل طور تي حملو ڪيو: اهو ڪو به بدسلوڪي عمل نه ڪيو آهي جيڪڏهن امڪاني قرباني حملي ڪندڙن جي دلچسپي جي ملڪن مان هڪ جو رهواسي نه هو.
هيٺ ڏنل ايپليڪيشنن جا مثال آهن جن ۾ ٽرجن شامل آهن:
ڪلڪ ڪندڙ کي انسٽال ڪرڻ ۽ لانچ ڪرڻ کان پوءِ (هتي ان جي ترميم کي مثال طور استعمال ڪيو ويندو ) هيٺ ڏنل درخواست ڏيکاريندي آپريٽنگ سسٽم جي اطلاعن تائين رسائي حاصل ڪرڻ جي ڪوشش ڪري ٿو:
جيڪڏهن صارف هن کي ضروري اجازت ڏيڻ تي راضي ٿئي ٿو، ٽروجن ايندڙ ايس ايم ايس بابت سڀني اطلاعن کي لڪائڻ ۽ پيغام جي متن کي مداخلت ڪرڻ جي قابل هوندو.
اڳيون، ڪلڪ ڪندڙ متاثر ٿيل ڊوائيس بابت ٽيڪنيڪل ڊيٽا ڪنٽرول سرور ڏانهن منتقل ڪري ٿو ۽ مقتول جي سم ڪارڊ جو سيريل نمبر چيڪ ڪري ٿو. جيڪڏهن اهو ٽارگيٽ ملڪن مان هڪ سان ملندو آهي، ان سان لاڳاپيل فون نمبر بابت سرور جي معلومات موڪلي ٿو. ساڳئي وقت، ڪلڪ ڪندڙ ڪجهه ملڪن جي صارفين کي هڪ فشنگ ونڊو ڏيکاري ٿو جتي اهي انهن کان نمبر داخل ڪرڻ يا انهن جي گوگل اڪائونٽ ۾ لاگ ان ٿيڻ لاءِ پڇن ٿا:
جيڪڏهن مقتول جو سم ڪارڊ حملو ڪندڙن جي دلچسپي واري ملڪ سان واسطو نه رکي، ٽروجن ڪو به عمل نه ڪندو آهي ۽ پنهنجي بدسلوڪي سرگرمي کي روڪيندو آهي. هيٺ ڏنل ملڪن جي رهاڪن تي ڪلڪ ڪندڙ حملي جي تحقيق ڪيل تبديليون:
- آسٽريا
- اٽلي
- فرانس
- Таиланд
- ميلايوئليا
- جرمني
- قطر
- پولينڊ
- يونان
- آئرلينڊ
نمبر معلومات منتقل ڪرڻ کان پوء انتظام سرور کان حڪمن جو انتظار ڪري ٿو. اهو ٽرجن ڏانهن ڪم موڪلي ٿو، جنهن ۾ جاوا اسڪرپٽ فارميٽ ۾ ڊائون لوڊ ۽ ڪوڊ ڪرڻ لاءِ ويب سائيٽن جا ايڊريس شامل آهن. هي ڪوڊ استعمال ڪيو ويندو آهي ڪلڪ ڪندڙ کي JavascriptInterface ذريعي ڪنٽرول ڪرڻ، ڊوائيس تي پاپ اپ پيغام ڏيکارڻ، ويب پيجز تي ڪلڪ ڪرڻ، ۽ ٻيا عمل.
سائيٽ ايڊريس حاصل ڪرڻ کان پوء، ان کي هڪ پوشيده WebView ۾ کوليندو آهي، جتي اڳ ۾ قبول ڪيل جاوا اسڪرپٽ کي ڪلڪ ڪرڻ لاءِ پيرا ميٽرن سان پڻ لوڊ ڪيو ويندو آهي. پريميئم سروس سان ويب سائيٽ کولڻ کان پوءِ، ٽروجن پاڻمرادو ضروري لنڪس ۽ بٽڻن تي ڪلڪ ڪري ٿو. اڳيون، هو ايس ايم ايس کان تصديقي ڪوڊ وصول ڪري ٿو ۽ آزاد طور تي رڪنيت جي تصديق ڪري ٿو.
ان حقيقت جي باوجود ته ڪلڪ ڪندڙ وٽ ايس ايم ايس سان ڪم ڪرڻ ۽ پيغامن تائين رسائي جو ڪم نه آهي، اهو هن حد کان پاسو ڪري ٿو. اهو هن طرح هلندو آهي. ٽروجن سروس ايپليڪيشن مان اطلاعن جي نگراني ڪري ٿي، جيڪا ڊفالٽ طور تي ايس ايم ايس سان ڪم ڪرڻ لاء مقرر ڪئي وئي آهي. جڏهن هڪ پيغام اچي ٿو، خدمت لڪائيندو آهي لاڳاپيل سسٽم نوٽيفڪيشن. اهو ان کان پوء حاصل ڪيل ايس ايم ايس بابت معلومات ڪڍي ٿو ۽ ان کي ٽرجن براڊڪاسٽ وصول ڪندڙ ڏانهن منتقل ڪري ٿو. نتيجي طور، صارف ايندڙ ايس ايم ايس بابت ڪا به اطلاع نه ڏسي ٿو ۽ نه ئي خبر آهي ته ڇا ٿي رهيو آهي. هو سروس جي رڪنيت حاصل ڪرڻ بابت تڏهن ئي سکندو آهي جڏهن هن جي اڪائونٽ مان پئسا غائب ٿيڻ شروع ٿين ٿا، يا جڏهن هو ميسيج مينيو ۾ وڃي ٿو ۽ پريميئم سروس سان لاڳاپيل ايس ايم ايس ڏسي ٿو.
ڊاڪٽر ويب اسپيشلسٽن جي گوگل سان رابطو ڪرڻ کان پوءِ معلوم ٿيل خراب ايپليڪيشنن کي گوگل پلي تان هٽايو ويو. ھن ڪلڪ ڪندڙ جون سڀ سڃاتل تبديليون ڪاميابيءَ سان ڳوليون ويون آھن ۽ ھٽايون ويون آھن Dr.Web اينٽي وائرس پروڊڪٽس اينڊرائيڊ لاءِ ۽ ان ڪري اسان جي استعمال ڪندڙن لاءِ ڪو خطرو نه آھن.
جو ذريعو: www.habr.com