Doctor Web objavil v oficiálnom katalógu Android aplikácií klikacieho trójskeho koňa, ktorý dokáže automaticky predplatiť používateľom platené služby. Vírusoví analytici identifikovali niekoľko modifikácií tohto škodlivého programu, tzv
Po prvé, zabudovali klikačky do neškodných aplikácií – fotoaparátov a kolekcií obrázkov – ktoré plnili zamýšľané funkcie. V dôsledku toho neexistoval žiadny jasný dôvod, aby ich používatelia a odborníci na informačnú bezpečnosť považovali za hrozbu.
Za druhé, bol všetok malvér chránený komerčným balíčkom Jiagu, čo komplikuje detekciu antivírusmi a komplikuje analýzu kódu. Trójsky kôň tak mal väčšiu šancu vyhnúť sa odhaleniu vstavanou ochranou adresára Google Play.
Po tretieAutori vírusov sa pokúsili zamaskovať trójskeho koňa za známe reklamné a analytické knižnice. Po pridaní do nosných programov bol zabudovaný do existujúcich súprav SDK od Facebooku a Adjust a skrýval sa medzi ich komponentmi.
Okrem toho kliker útočil na používateľov selektívne: nevykonával žiadne škodlivé akcie, ak potenciálna obeť nebola obyvateľom jednej z krajín, o ktoré sa útočníci zaujímali.
Nižšie sú uvedené príklady aplikácií, v ktorých je zabudovaný trójsky kôň:
Po nainštalovaní a spustení klikera (ďalej len jeho modifikácia bude použitá ako príklad
Ak používateľ súhlasí s udelením potrebných povolení, trójsky kôň bude môcť skryť všetky upozornenia o prichádzajúcich SMS a zachytiť texty správ.
Potom kliker odošle technické údaje o infikovanom zariadení riadiacemu serveru a skontroluje sériové číslo SIM karty obete. Ak sa zhoduje s jednou z cieľových krajín,
Ak SIM karta obete nepatrí do krajiny, o ktorú majú útočníci záujem, trójsky kôň nepodnikne žiadne kroky a zastaví svoju zákernú činnosť. Skúmané modifikácie clickeru útočia na obyvateľov nasledujúcich krajín:
- Rakúsko
- Taliansko
- Francúzsko
- Thailand
- Malajzia
- Nemecko
- Katar
- Poľsko
- Grécko
- Írsko
Po odoslaní informácií o čísle
Po obdržaní adresy stránky
Napriek tomu, že kliker nemá funkciu práce s SMS a prístupu k správam, toto obmedzenie obchádza. Ide to takto. Služba Trojan monitoruje notifikácie z aplikácie, ktorá je štandardne priradená na prácu so SMS. Keď príde správa, služba skryje príslušné systémové upozornenie. Z nej následne vytiahne informáciu o prijatej SMS a odošle ju do prijímača vysielania Trojan. V dôsledku toho používateľ nevidí žiadne upozornenia na prichádzajúce SMS a nevie, čo sa deje. O predplatení služby sa dozvie, až keď mu z účtu začnú miznúť peniaze, alebo keď prejde do ponuky správ a uvidí SMS súvisiace s prémiovou službou.
Potom, čo špecialisti Doctor Web kontaktovali Google, boli zistené škodlivé aplikácie odstránené z Google Play. Všetky známe modifikácie tohto klikača sú úspešne detekované a odstránené antivírusovými produktmi Dr.Web pre Android, a preto nepredstavujú hrozbu pre našich používateľov.
Zdroj: hab.com