Doctor Web ka zbuluar një Trojan klikues në katalogun zyrtar të aplikacioneve Android që është në gjendje të abonojë automatikisht përdoruesit në shërbimet me pagesë. Analistët e viruseve kanë identifikuar disa modifikime të këtij programi keqdashës, të quajtur , и . Për të fshehur qëllimin e tyre të vërtetë dhe gjithashtu për të zvogëluar gjasat e zbulimit të Trojanit, sulmuesit përdorën disa teknika.
Së pari, ata ndërtuan klikues në aplikacione të padëmshme - kamera dhe koleksione imazhesh - që kryenin funksionet e tyre të synuara. Si rezultat, nuk kishte asnjë arsye të qartë që përdoruesit dhe profesionistët e sigurisë së informacionit t'i shihnin ato si një kërcënim.
Në radhë të dytë, i gjithë malware ishte i mbrojtur nga paketuesi komercial Jiagu, i cili ndërlikon zbulimin nga antiviruset dhe ndërlikon analizën e kodit. Në këtë mënyrë, Trojani kishte një shans më të mirë për të shmangur zbulimin nga mbrojtja e integruar e drejtorisë së Google Play.
Së treti, shkrimtarët e viruseve u përpoqën të maskonin Trojanin si biblioteka të njohura reklamuese dhe analitike. Pasi u shtua në programet e transportuesit, ai u ndërtua në SDK-të ekzistuese nga Facebook dhe Adjust, duke u fshehur midis komponentëve të tyre.
Për më tepër, klikuesi sulmoi përdoruesit në mënyrë selektive: ai nuk kryente asnjë veprim keqdashës nëse viktima e mundshme nuk ishte banor i një prej vendeve me interes për sulmuesit.
Më poshtë janë shembuj të aplikacioneve me një Trojan të ngulitur në to:
Pas instalimit dhe nisjes së klikuesit (në tekstin e mëtejmë, modifikimi i tij do të përdoret si shembull ) përpiqet të qaset në njoftimet e sistemit operativ duke shfaqur kërkesën e mëposhtme:
Nëse përdoruesi pranon t'i japë atij lejet e nevojshme, Trojani do të jetë në gjendje të fshehë të gjitha njoftimet në lidhje me SMS-të në hyrje dhe të përgjojë tekstet e mesazheve.
Më pas, klikuesi transmeton të dhëna teknike për pajisjen e infektuar në serverin e kontrollit dhe kontrollon numrin serial të kartës SIM të viktimës. Nëse përputhet me një nga vendet e synuara, i dërgon serverit informacion në lidhje me numrin e telefonit të lidhur me të. Në të njëjtën kohë, klikuesi u tregon përdoruesve nga vende të caktuara një dritare phishing ku ata u kërkojnë atyre të fusin një numër ose të identifikohen në llogarinë e tyre të Google:
Nëse karta SIM e viktimës nuk i përket vendit me interes për sulmuesit, Trojani nuk ndërmerr asnjë veprim dhe ndalon aktivitetin e tij keqdashës. Modifikimet e hulumtuara të banorëve të sulmit klikues të vendeve të mëposhtme:
- Австрия
- Itali
- Francë
- Thailand
- Малайзия
- Gjermani
- Катар
- Poloni
- Greqi
- Irlandë
Pas transmetimit të informacionit të numrit pret komanda nga serveri i menaxhimit. Ai dërgon detyra në Trojan, të cilat përmbajnë adresat e faqeve të internetit për t'u shkarkuar dhe koduar në formatin JavaScript. Ky kod përdoret për të kontrolluar klikuesin përmes ndërfaqes Javascript, për të shfaqur mesazhe pop-up në pajisje, për të kryer klikime në faqet e internetit dhe veprime të tjera.
Pasi ka marrë adresën e faqes, e hap atë në një WebView të padukshëm, ku ngarkohet edhe JavaScript e pranuar më parë me parametra për klikime. Pas hapjes së një faqe interneti me një shërbim premium, Trojani klikon automatikisht në lidhjet dhe butonat e nevojshëm. Më pas, ai merr kodet e verifikimit nga SMS dhe konfirmon në mënyrë të pavarur pajtimin.
Përkundër faktit se klikuesi nuk ka funksionin e punës me SMS dhe qasjes në mesazhe, ai e anashkalon këtë kufizim. Shkon kështu. Shërbimi Trojan monitoron njoftimet nga aplikacioni, i cili si parazgjedhje është caktuar për të punuar me SMS. Kur arrin një mesazh, shërbimi fsheh njoftimin përkatës të sistemit. Më pas nxjerr informacione rreth SMS-ve të marra prej tij dhe ia transmeton atë marrësit të transmetimit Trojan. Si rezultat, përdoruesi nuk sheh asnjë njoftim për SMS në hyrje dhe nuk është i vetëdijshëm për atë që po ndodh. Ai mëson për abonimin në shërbim vetëm kur paratë fillojnë të zhduken nga llogaria e tij, ose kur shkon në menynë e mesazheve dhe sheh SMS në lidhje me shërbimin premium.
Pasi specialistët e Doctor Web kontaktuan Google, aplikacionet me qëllim të keq të zbuluar u hoqën nga Google Play. Të gjitha modifikimet e njohura të këtij klikuesi zbulohen dhe hiqen me sukses nga produktet antivirus Dr.Web për Android dhe për këtë arsye nuk paraqesin kërcënim për përdoruesit tanë.
Burimi: www.habr.com