Doctor Web objavil v oficiálnom katalógu Android aplikácií klikacieho trójskeho koňa, ktorý dokáže automaticky predplatiť používateľom platené služby. Vírusoví analytici identifikovali niekoľko modifikácií tohto škodlivého programu, tzv , и . Aby útočníci skryli svoj skutočný účel a tiež znížili pravdepodobnosť odhalenia trójskeho koňa, použili niekoľko techník.
Po prvé, zabudovali klikačky do neškodných aplikácií – fotoaparátov a kolekcií obrázkov – ktoré plnili zamýšľané funkcie. V dôsledku toho neexistoval žiadny jasný dôvod, aby ich používatelia a odborníci na informačnú bezpečnosť považovali za hrozbu.
Za druhé, bol všetok malvér chránený komerčným balíčkom Jiagu, čo komplikuje detekciu antivírusmi a komplikuje analýzu kódu. Trójsky kôň tak mal väčšiu šancu vyhnúť sa odhaleniu vstavanou ochranou adresára Google Play.
Po tretieAutori vírusov sa pokúsili zamaskovať trójskeho koňa za známe reklamné a analytické knižnice. Po pridaní do nosných programov bol zabudovaný do existujúcich súprav SDK od Facebooku a Adjust a skrýval sa medzi ich komponentmi.
Okrem toho kliker útočil na používateľov selektívne: nevykonával žiadne škodlivé akcie, ak potenciálna obeť nebola obyvateľom jednej z krajín, o ktoré sa útočníci zaujímali.
Nižšie sú uvedené príklady aplikácií, v ktorých je zabudovaný trójsky kôň:
Po nainštalovaní a spustení klikera (ďalej len jeho modifikácia bude použitá ako príklad ) sa pokúsi o prístup k upozorneniam operačného systému zobrazením nasledujúcej požiadavky:
Ak používateľ súhlasí s udelením potrebných povolení, trójsky kôň bude môcť skryť všetky upozornenia o prichádzajúcich SMS a zachytiť texty správ.
Potom kliker odošle technické údaje o infikovanom zariadení riadiacemu serveru a skontroluje sériové číslo SIM karty obete. Ak sa zhoduje s jednou z cieľových krajín, odosiela na server informácie o telefónnom čísle, ktoré je k nemu priradené. Klikák zároveň zobrazuje používateľom z určitých krajín phishingové okno, v ktorom ich žiadajú o zadanie čísla alebo o prihlásenie do svojho účtu Google:
Ak SIM karta obete nepatrí do krajiny, o ktorú majú útočníci záujem, trójsky kôň nepodnikne žiadne kroky a zastaví svoju zákernú činnosť. Skúmané modifikácie clickeru útočia na obyvateľov nasledujúcich krajín:
- Rakúsko
- Taliansko
- Francúzsko
- Thailand
- Malajzia
- Nemecko
- Katar
- Poľsko
- Grécko
- Írsko
Po odoslaní informácií o čísle čaká na príkazy z riadiaceho servera. Trójskemu koňovi posiela úlohy, ktoré obsahujú adresy webových stránok na stiahnutie a kódovanie vo formáte JavaScript. Tento kód sa používa na ovládanie klikača prostredníctvom rozhrania JavascriptInterface, zobrazovanie kontextových správ na zariadení, vykonávanie kliknutí na webové stránky a ďalšie akcie.
Po obdržaní adresy stránky otvorí ho v neviditeľnom WebView, kde sa načíta aj predtým akceptovaný JavaScript s parametrami pre kliknutia. Po otvorení webovej stránky s prémiovou službou trójsky kôň automaticky klikne na potrebné odkazy a tlačidlá. Ďalej dostane overovacie kódy z SMS a nezávisle potvrdí predplatné.
Napriek tomu, že kliker nemá funkciu práce s SMS a prístupu k správam, toto obmedzenie obchádza. Ide to takto. Služba Trojan monitoruje notifikácie z aplikácie, ktorá je štandardne priradená na prácu so SMS. Keď príde správa, služba skryje príslušné systémové upozornenie. Z nej následne vytiahne informáciu o prijatej SMS a odošle ju do prijímača vysielania Trojan. V dôsledku toho používateľ nevidí žiadne upozornenia na prichádzajúce SMS a nevie, čo sa deje. O predplatení služby sa dozvie, až keď mu z účtu začnú miznúť peniaze, alebo keď prejde do ponuky správ a uvidí SMS súvisiace s prémiovou službou.
Potom, čo špecialisti Doctor Web kontaktovali Google, boli zistené škodlivé aplikácie odstránené z Google Play. Všetky známe modifikácie tohto klikača sú úspešne detekované a odstránené antivírusovými produktmi Dr.Web pre Android, a preto nepredstavujú hrozbu pre našich používateľov.
Zdroj: hab.com