Dokter Web parantos mendakan Trojan clicker dina katalog resmi aplikasi Android anu tiasa otomatis ngalangganan pangguna kana jasa anu mayar. Analis virus geus ngaidentifikasi sababaraha modifikasi tina program jahat ieu, disebutna , и . Pikeun nyumputkeun tujuan anu leres sareng ngirangan kamungkinan deteksi Trojan, panyerang ngagunakeun sababaraha téknik.
firstly, aranjeunna ngawangun clickers kana innocuous aplikasi-kaméra jeung gambar kumpulan-anu ngalaksanakeun fungsi dimaksudkeun maranéhanana. Hasilna, teu aya alesan anu jelas pikeun pangguna sareng profésional kaamanan inpormasi ningali aranjeunna salaku ancaman.
Bréh, kabéh malware ditangtayungan ku pakét Jiagu komérsial, nu complicates deteksi ku antiviruses jeung complicates analisis kode. Ku cara ieu, Trojan ngagaduhan kasempetan anu langkung saé pikeun ngahindarkeun deteksi ku panyalindungan anu diwangun dina diréktori Google Play.
katilu, panulis virus nyoba nyamur Trojan salaku iklan well-dipikawanoh sarta perpustakaan analitik. Sakali ditambahkeun kana program pamawa, éta diwangun kana SDKs aya ti Facebook jeung Saluyukeun, nyumput diantara komponén maranéhanana.
Salaku tambahan, clicker narajang pangguna sacara selektif: éta henteu ngalakukeun tindakan jahat upami calon korban sanés nyicingan salah sahiji nagara anu dipikaresep ku panyerang.
Di handap ieu conto aplikasi sareng Trojan anu dipasang dina éta:
Saatos masang sareng ngaluncurkeun clicker (salajengna, modifikasina bakal dianggo salaku conto ) nyobian ngaksés béwara sistem operasi ku nunjukkeun pamundut ieu:
Upami pangguna satuju pikeun masihan anjeunna idin anu diperyogikeun, Trojan bakal tiasa nyumputkeun sadaya bewara ngeunaan SMS anu asup sareng teks pesen intercept.
Salajengna, clicker ngirimkeun data téknis ngeunaan alat anu kainféksi ka server kontrol sareng pariksa nomer séri kartu SIM korban. Upami cocog sareng salah sahiji nagara sasaran, ngirimkeun ka inpormasi pangladén ngeunaan nomer telepon anu aya hubunganana sareng éta. Dina waktos anu sami, clicker nunjukkeun pangguna ti nagara-nagara tangtu jandela phishing dimana aranjeunna naroskeun aranjeunna ngalebetkeun nomer atanapi lebet kana akun Google na:
Upami kartu SIM korban sanés milik nagara anu dipikaresep ku panyerang, Trojan henteu nyandak tindakan sareng ngeureunkeun kagiatan jahat na. Modifikasi anu ditalungtik tina clicker nyerang warga nagara-nagara di handap ieu:
- Austria
- Italy
- Perancis
- Таиланд
- Малайзия
- Jérman
- Qatar
- Polandia
- Yunani
- Irlandia
Sanggeus ngirimkeun informasi nomer ngantosan paréntah ti server manajemén. Éta ngirimkeun tugas ka Trojan, anu ngandung alamat situs wéb pikeun diunduh sareng kode dina format JavaScript. Kode ieu dipaké pikeun ngadalikeun clicker ngaliwatan JavascriptInterface, nembongkeun pesen pop-up dina alat, ngalakukeun clicks dina kaca web, sarta lampah sejenna.
Saatos nampi alamat situs, muka éta dina WebView halimunan, dimana JavaScript ditarima saméméhna mibanda parameter pikeun clicks ogé dimuat. Saatos muka halaman wéb nganggo jasa premium, Trojan otomatis ngaklik tautan sareng tombol anu diperyogikeun. Salajengna, anjeunna nampi kodeu verifikasi tina SMS sareng sacara mandiri mastikeun langganan.
Sanaos kanyataan yén clicker henteu ngagaduhan fungsi damel sareng SMS sareng ngaksés pesen, éta ngalangkungan watesan ieu. Ieu mana kawas kieu. Ladenan Trojan ngawas béwara tina aplikasi, anu sacara standar ditugaskeun pikeun damel sareng SMS. Nalika pesen sumping, jasa nyumputkeun béwara sistem anu saluyu. Éta teras ékstrak inpormasi ngeunaan SMS anu ditampi tina éta sareng ngirimkeunana ka panarima siaran Trojan. Hasilna, pangguna henteu ningali béwara ngeunaan SMS anu asup sareng henteu sadar naon anu kajantenan. Anjeunna diajar ngeunaan ngalanggan jasa ngan nalika artos mimiti ngaleungit tina akunna, atanapi nalika anjeunna angkat ka ménu pesen sareng ningali SMS anu aya hubunganana sareng jasa premium.
Saatos spesialis Dokter Web ngahubungi Google, aplikasi jahat anu dideteksi dihapus tina Google Play. Kabéh modifikasi dipikawanoh tina clicker ieu hasil dideteksi jeung dihapus ku Dr.Web produk anti-virus pikeun Android sarta ku kituna ulah pasang aksi anceman ka pamaké urang.
sumber: www.habr.com