Doctor Web je v uradnem katalogu aplikacij za Android odkril trojanca klikerja, ki je sposoben samodejno naročati uporabnike na plačljive storitve. Virusni analitiki so identificirali več modifikacij tega zlonamernega programa, imenovanega
Prvič, so vgradili klikerje v neškodljive aplikacije – kamere in zbirke slik – ki so opravljale predvidene funkcije. Posledično ni bilo jasnega razloga, da bi uporabniki in strokovnjaki za informacijsko varnost nanje gledali kot na grožnjo.
Drugič, je bila vsa zlonamerna programska oprema zaščitena s komercialnim pakirnikom Jiagu, kar otežuje odkrivanje s protivirusnimi programi in otežuje analizo kode. Tako je imel trojanec večjo možnost, da se izogne odkritju z vgrajeno zaščito imenika Google Play.
Tretjič, so pisci virusov poskušali trojanca prikriti kot znane oglaševalske in analitične knjižnice. Ko je bil dodan nosilnim programom, je bil vgrajen v obstoječe SDK-je iz Facebooka in Adjusta ter se skriva med njunima komponentama.
Poleg tega je kliker uporabnike napadal selektivno: ni izvedel nobenih zlonamernih dejanj, če potencialna žrtev ni bila rezident ene od držav, ki so zanimive za napadalce.
Spodaj so primeri aplikacij z vdelanim trojancem:
Po namestitvi in zagonu klikerja (v nadaljevanju bo kot primer uporabljena njegova modifikacija
Če se uporabnik strinja, da mu bodo podeljena potrebna dovoljenja, bo trojanec lahko skril vsa obvestila o prejetih SMS-ih in prestregel besedila sporočil.
Nato kliker pošlje tehnične podatke o okuženi napravi na nadzorni strežnik in preveri serijsko številko kartice SIM žrtve. Če se ujema z eno od ciljnih držav,
Če žrtvina SIM kartica ne pripada državi, ki je zanimiva za napadalce, trojanec ne ukrepa in ustavi svojo zlonamerno dejavnost. Raziskane modifikacije klikerja napadajo prebivalce naslednjih držav:
- Avstrija
- Italijo
- France
- Tajska
- Малайзия
- Nemčiji
- Катар
- Na Poljskem
- Grčiji
- Slovenija
Po prenosu informacij o številki
Ko prejmete naslov spletnega mesta,
Kljub temu, da kliker nima funkcije dela s SMS-i in dostopa do sporočil, to omejitev zaobide. Gre takole. Trojanska storitev spremlja obvestila iz aplikacije, ki je privzeto dodeljena za delo s SMS. Ko prispe sporočilo, storitev skrije ustrezno sistemsko obvestilo. Nato iz njega izvleče podatke o prejetem SMS-u in jih posreduje trojanskemu oddajnemu sprejemniku. Posledično uporabnik ne vidi nobenih obvestil o prejetih sporočilih SMS in se ne zaveda, kaj se dogaja. Za naročanje na storitev izve šele, ko začne z njegovega računa izginjati denar ali ko gre v meni s sporočili in vidi SMS, povezan s premium storitvijo.
Potem ko so strokovnjaki Doctor Web stopili v stik z Googlom, so bile odkrite zlonamerne aplikacije odstranjene iz Google Play. Vse znane modifikacije tega klikerja protivirusni izdelki Dr.Web za Android uspešno zaznajo in odstranijo in zato ne predstavljajo nevarnosti za naše uporabnike.