Doctor Web ka zbuluar një Trojan klikues në katalogun zyrtar të aplikacioneve Android që është në gjendje të abonojë automatikisht përdoruesit në shërbimet me pagesë. Analistët e viruseve kanë identifikuar disa modifikime të këtij programi keqdashës, të quajtur
Së pari, ata ndërtuan klikues në aplikacione të padëmshme - kamera dhe koleksione imazhesh - që kryenin funksionet e tyre të synuara. Si rezultat, nuk kishte asnjë arsye të qartë që përdoruesit dhe profesionistët e sigurisë së informacionit t'i shihnin ato si një kërcënim.
Në radhë të dytë, i gjithë malware ishte i mbrojtur nga paketuesi komercial Jiagu, i cili ndërlikon zbulimin nga antiviruset dhe ndërlikon analizën e kodit. Në këtë mënyrë, Trojani kishte një shans më të mirë për të shmangur zbulimin nga mbrojtja e integruar e drejtorisë së Google Play.
Së treti, shkrimtarët e viruseve u përpoqën të maskonin Trojanin si biblioteka të njohura reklamuese dhe analitike. Pasi u shtua në programet e transportuesit, ai u ndërtua në SDK-të ekzistuese nga Facebook dhe Adjust, duke u fshehur midis komponentëve të tyre.
Për më tepër, klikuesi sulmoi përdoruesit në mënyrë selektive: ai nuk kryente asnjë veprim keqdashës nëse viktima e mundshme nuk ishte banor i një prej vendeve me interes për sulmuesit.
Më poshtë janë shembuj të aplikacioneve me një Trojan të ngulitur në to:
Pas instalimit dhe nisjes së klikuesit (në tekstin e mëtejmë, modifikimi i tij do të përdoret si shembull
Nëse përdoruesi pranon t'i japë atij lejet e nevojshme, Trojani do të jetë në gjendje të fshehë të gjitha njoftimet në lidhje me SMS-të në hyrje dhe të përgjojë tekstet e mesazheve.
Më pas, klikuesi transmeton të dhëna teknike për pajisjen e infektuar në serverin e kontrollit dhe kontrollon numrin serial të kartës SIM të viktimës. Nëse përputhet me një nga vendet e synuara,
Nëse karta SIM e viktimës nuk i përket vendit me interes për sulmuesit, Trojani nuk ndërmerr asnjë veprim dhe ndalon aktivitetin e tij keqdashës. Modifikimet e hulumtuara të banorëve të sulmit klikues të vendeve të mëposhtme:
- Австрия
- Itali
- Francë
- Thailand
- Малайзия
- Gjermani
- Катар
- Poloni
- Greqi
- Irlandë
Pas transmetimit të informacionit të numrit
Pasi ka marrë adresën e faqes,
Përkundër faktit se klikuesi nuk ka funksionin e punës me SMS dhe qasjes në mesazhe, ai e anashkalon këtë kufizim. Shkon kështu. Shërbimi Trojan monitoron njoftimet nga aplikacioni, i cili si parazgjedhje është caktuar për të punuar me SMS. Kur arrin një mesazh, shërbimi fsheh njoftimin përkatës të sistemit. Më pas nxjerr informacione rreth SMS-ve të marra prej tij dhe ia transmeton atë marrësit të transmetimit Trojan. Si rezultat, përdoruesi nuk sheh asnjë njoftim për SMS në hyrje dhe nuk është i vetëdijshëm për atë që po ndodh. Ai mëson për abonimin në shërbim vetëm kur paratë fillojnë të zhduken nga llogaria e tij, ose kur shkon në menynë e mesazheve dhe sheh SMS në lidhje me shërbimin premium.
Pasi specialistët e Doctor Web kontaktuan Google, aplikacionet me qëllim të keq të zbuluar u hoqën nga Google Play. Të gjitha modifikimet e njohura të këtij klikuesi zbulohen dhe hiqen me sukses nga produktet antivirus Dr.Web për Android dhe për këtë arsye nuk paraqesin kërcënim për përdoruesit tanë.
Burimi: www.habr.com