Doctor Webka ayaa ka helay gujis Trojan tusaha rasmiga ah ee codsiyada Android kaas oo awood u leh in uu si toos ah ugu biiro isticmaaleyaasha adeegyada lacag bixinta. Falanqeeyayaasha fayraska ayaa aqoonsaday dhowr wax ka beddel oo lagu sameeyay barnaamijkan xaasidnimada ah, oo loo yaqaan , ΠΈ . Si loo qariyo ujeedadooda dhabta ah iyo sidoo kale in la yareeyo suurtagalnimada in la ogaado Trojan, weeraryahannadu waxay adeegsadeen farsamooyin badan.
Marka, waxay u dhiseen gujis codsiyo aan dhib lahayn β kamarado iyo sawirro ururin β kuwaas oo fuliyay hawlihii loogu talagalay. Natiijo ahaan, ma jirin sabab cad oo isticmaalayaasha iyo xirfadlayaasha amniga macluumaadka ay u arkaan khatar.
Marka labaad, dhammaan malware-ka waxaa ilaaliyay xiraha ganacsiga ee Jiagu, kaas oo adkeynaya ogaanshaha fayraska oo adkeynaya falanqaynta koodhka. Sidan, Trojan-ku wuxuu helay fursad wanaagsan oo uu kaga fogaanayo ogaanshaha ilaalinta ku dhex jirta buugga Google Play.
Saddexaad, qorayaasha fayraska ayaa isku dayay inay qariyaan Trojan-ka sida xayaysiisyada iyo maktabadaha falanqaynta ee caanka ah. Marka lagu daro barnaamijyada side, waxaa lagu dhex dhisay SDK-yada jira ee Facebook iyo Adjust, oo ku dhex dhuumanaya qaybahooda.
Intaa waxaa dheer, gujisku wuxuu u weeraray isticmaalayaasha si xushmad leh: ma aysan sameynin ficillo xaasidnimo ah haddii dhibbanaha suurtagalka ah uusan ahayn degane mid ka mid ah wadamada ay xiiseynayaan weeraryahannada.
Hoos waxaa ah tusaalayaal codsiyo leh Trojan ku dhex jira:
Ka dib marka la rakibo oo la furo gujiyaha (wixii ka dambeeya, wax ka beddelkeeda ayaa loo isticmaali doonaa tusaale ahaan ) isku dayo inuu galo ogeysiisyada nidaamka hawlgalka isagoo muujinaya codsiga soo socda:
Haddii isticmaaluhu oggolaado inuu siiyo rukhsadaha lagama maarmaanka ah, Trojan-ku wuxuu awood u yeelan doonaa inuu qariyo dhammaan ogeysiisyada ku saabsan SMS-ka soo socda oo uu joojiyo farriimaha.
Marka xigta, gujisku wuxuu u gudbiyaa xogta farsamada ee ku saabsan aaladda cudurka qaba server-ka kantaroolka oo hubiya lambarka taxanaha ee SIM kaarka dhibbanaha. Haddii ay u dhiganto mid ka mid ah dalalka la beegsanayo, wuxuu u soo dirayaa server-ka macluumaadka ku saabsan lambarka taleefanka ee la xiriira. Isla mar ahaantaana, gujisku wuxuu tusayaa isticmaalayaasha wadamada qaarkood daaqad phishing ah halkaas oo ay ka codsadaan inay galaan lambar ama galaan akoonkooda Google:
Haddii kaarka SIM-ka dhibbanaha uusan ka tirsaneyn dalka ay daneynayaan kuwa weerarka geystay, Trojan-ku wax tallaabo ah ma qaado oo wuxuu joojiyaa dhaqdhaqaaqiisa xaasidnimo. Wax ka beddelka la baadhay ee lagu sameeyay dadka deggan dalalka soo socda:
- Austria
- Italy
- France
- Thailand
- Malayziya
- Germany
- Qatar
- Poland
- Greece
- Ireland
Kadib gudbinta macluumaadka lambarka waxay sugaysaa amarrada server-ka maamulka. Waxay u dirtaa hawlaha Trojan-ka, kuwaas oo ka kooban ciwaannada mareegaha si loo soo dejiyo oo loogu codeeyo qaabka JavaScript. Koodhkan waxaa loo isticmaalaa in lagu xakameeyo gujiyaha iyada oo loo marayo JavascriptInterface, lagu soo bandhigo farriimaha soo booda ee aaladda, lagu sameeyo gujisyada bogagga shabakadda, iyo ficillada kale.
Markii aan helay ciwaanka goobta, wuxuu ku furaa WebView aan la arki karin, halkaas oo JavaScript-kii hore loo aqbalay oo leh cabbiraadyo gujis sidoo kale lagu shubay. Ka dib marka la furo degel leh adeeg qiimo sare leh, Trojan-ku si toos ah ayuu u riixayaa xiriiriyeyaasha lagama maarmaanka ah iyo badhamada. Marka xigta, wuxuu ka helayaa koodka xaqiijinta SMS wuxuuna si madaxbanaan u xaqiijinayaa isdiiwaangelinta.
In kasta oo xaqiiqda ah in gujisku aanu lahayn shaqada la shaqaynta SMS iyo helitaanka fariimaha, waxay dhaaftaa xaddidan. Waxay u socotaa sidan. Adeegga Trojan wuxuu ilaaliyaa ogeysiisyada arjiga, kaas oo si caadi ah loo qoondeeyay inuu ku shaqeeyo SMS. Marka fariintu timaaddo, adeeggu wuxuu qarinayaa ogaysiinta nidaamka u dhigma. Kadib waxay ka soo saartaa macluumaadka ku saabsan SMS-ka la helay waxayna u gudbisaa qaataha baahinta baahinta Trojan. Natiijo ahaan, isticmaaluhu ma arko wax ogeysiis ah oo ku saabsan SMS-ka soo socda mana ka warqabo waxa dhacaya. Waxa uu wax ka bartaa ku biirista adeega kaliya marka ay lacagtu ka bilaabato inay ka lunto akoonkiisa, ama marka uu tago liiska fariimaha oo uu arko SMS-ka la xidhiidha adeega premium.
Ka dib markii dhakhaatiirta ku takhasustay Webka ay la xiriireen Google, codsiyada xaasidnimada ah ee la ogaaday ayaa laga saaray Google Play. Dhammaan wax ka beddelka la yaqaan ee gujiyahan waxaa si guul leh u ogaaday oo meesha ka saaray Dr.Web-ka-hortagga fayraska ee Android-ka sidaas darteed khatar kuma aha isticmaalayaashayada.
Source: www.habr.com