Doctor Web je v uradnem katalogu aplikacij za Android odkril trojanca klikerja, ki je sposoben samodejno naročati uporabnike na plačljive storitve. Virusni analitiki so identificirali več modifikacij tega zlonamernega programa, imenovanega , и . Da bi prikrili svoj pravi namen in tudi zmanjšali verjetnost odkritja trojanca, so napadalci uporabili več tehnik.
Prvič, so vgradili klikerje v neškodljive aplikacije – kamere in zbirke slik – ki so opravljale predvidene funkcije. Posledično ni bilo jasnega razloga, da bi uporabniki in strokovnjaki za informacijsko varnost nanje gledali kot na grožnjo.
Drugič, je bila vsa zlonamerna programska oprema zaščitena s komercialnim pakirnikom Jiagu, kar otežuje odkrivanje s protivirusnimi programi in otežuje analizo kode. Tako je imel trojanec večjo možnost, da se izogne odkritju z vgrajeno zaščito imenika Google Play.
Tretjič, so pisci virusov poskušali trojanca prikriti kot znane oglaševalske in analitične knjižnice. Ko je bil dodan nosilnim programom, je bil vgrajen v obstoječe SDK-je iz Facebooka in Adjusta ter se skriva med njunima komponentama.
Poleg tega je kliker uporabnike napadal selektivno: ni izvedel nobenih zlonamernih dejanj, če potencialna žrtev ni bila rezident ene od držav, ki so zanimive za napadalce.
Spodaj so primeri aplikacij z vdelanim trojancem:
Po namestitvi in zagonu klikerja (v nadaljevanju bo kot primer uporabljena njegova modifikacija ) poskuša dostopati do obvestil operacijskega sistema s prikazom naslednje zahteve:
Če se uporabnik strinja, da mu bodo podeljena potrebna dovoljenja, bo trojanec lahko skril vsa obvestila o prejetih SMS-ih in prestregel besedila sporočil.
Nato kliker pošlje tehnične podatke o okuženi napravi na nadzorni strežnik in preveri serijsko številko kartice SIM žrtve. Če se ujema z eno od ciljnih držav, strežniku pošlje podatke o telefonski številki, ki je z njim povezana. Hkrati kliker uporabnikom iz določenih držav prikaže okno za lažno predstavljanje, kjer jih prosijo, da vnesejo številko ali se prijavijo v svoj Google račun:
Če žrtvina SIM kartica ne pripada državi, ki je zanimiva za napadalce, trojanec ne ukrepa in ustavi svojo zlonamerno dejavnost. Raziskane modifikacije klikerja napadajo prebivalce naslednjih držav:
- Avstrija
- Italijo
- France
- Tajska
- Малайзия
- Nemčiji
- Катар
- Na Poljskem
- Grčiji
- Slovenija
Po prenosu informacij o številki čaka na ukaze s strežnika za upravljanje. Trojancu pošilja naloge, ki vsebujejo naslove spletnih mest za prenos in kodo v formatu JavaScript. Ta koda se uporablja za nadzor klikerja prek vmesnika Javascript, prikazovanje pojavnih sporočil v napravi, izvajanje klikov na spletnih straneh in druga dejanja.
Ko prejmete naslov spletnega mesta, odpre v nevidnem WebViewu, kjer se naloži tudi prej sprejet JavaScript s parametri za klike. Po odprtju spletnega mesta s prvovrstno storitvijo trojanec samodejno klikne potrebne povezave in gumbe. Nato prejme potrditvene kode iz SMS-a in samostojno potrdi naročnino.
Kljub temu, da kliker nima funkcije dela s SMS-i in dostopa do sporočil, to omejitev zaobide. Gre takole. Trojanska storitev spremlja obvestila iz aplikacije, ki je privzeto dodeljena za delo s SMS. Ko prispe sporočilo, storitev skrije ustrezno sistemsko obvestilo. Nato iz njega izvleče podatke o prejetem SMS-u in jih posreduje trojanskemu oddajnemu sprejemniku. Posledično uporabnik ne vidi nobenih obvestil o prejetih sporočilih SMS in se ne zaveda, kaj se dogaja. Za naročanje na storitev izve šele, ko začne z njegovega računa izginjati denar ali ko gre v meni s sporočili in vidi SMS, povezan s premium storitvijo.
Potem ko so strokovnjaki Doctor Web stopili v stik z Googlom, so bile odkrite zlonamerne aplikacije odstranjene iz Google Play. Vse znane modifikacije tega klikerja protivirusni izdelki Dr.Web za Android uspešno zaznajo in odstranijo in zato ne predstavljajo nevarnosti za naše uporabnike.
Vir: www.habr.com