Doctor Web har upptäckt en klickertrojan i den officiella katalogen av Android-applikationer som kan automatiskt prenumerera användare på betaltjänster. Virusanalytiker har identifierat flera modifieringar av detta skadliga program, kallat , и . För att dölja deras sanna syfte och även minska sannolikheten för upptäckt av trojanen använde angripare flera tekniker.
Först, byggde de in klickare i ofarliga applikationer – kameror och bildsamlingar – som utförde sina avsedda funktioner. Som ett resultat fanns det ingen tydlig anledning för användare och informationssäkerhetsproffs att se dem som ett hot.
Andra, skyddades all skadlig kod av den kommersiella Jiagu-paketeraren, vilket komplicerar upptäckt av antivirus och komplicerar kodanalys. På så sätt hade trojanen en bättre chans att undvika upptäckt genom det inbyggda skyddet i Google Play-katalogen.
För det tredje, försökte virusskribenter att maskera trojanen som välkända reklam- och analytiska bibliotek. När den väl lades till i bärarprogrammen byggdes den in i de befintliga SDK:erna från Facebook och Adjust och gömde sig bland deras komponenter.
Dessutom attackerade klickaren användare selektivt: den utförde inga skadliga handlingar om det potentiella offret inte var bosatt i något av länderna av intresse för angriparna.
Nedan finns exempel på applikationer med en trojan inbäddad i dem:
Efter installation och start av klickern (hädanefter kommer dess modifiering att användas som ett exempel ) försöker komma åt operativsystemaviseringar genom att visa följande begäran:
Om användaren går med på att ge honom de nödvändiga behörigheterna kommer trojanen att kunna dölja alla meddelanden om inkommande SMS och avlyssna meddelandetexter.
Därefter överför klickaren tekniska data om den infekterade enheten till kontrollservern och kontrollerar serienumret på offrets SIM-kort. Om det matchar ett av målländerna, skickar information till servern om telefonnumret som är kopplat till den. Samtidigt visar klickaren användare från vissa länder ett nätfiskefönster där de ber dem att ange ett nummer eller logga in på sitt Google-konto:
Om offrets SIM-kort inte tillhör landet av intresse för angriparna, vidtar trojanen ingen åtgärd och stoppar sin skadliga aktivitet. De undersökta ändringarna av klickerattacken invånare i följande länder:
- Österrike
- Italien
- Frankrike
- Thailand
- Malaysia
- Tyskland
- qatar
- Polen
- Grekland
- Irland
Efter att ha överfört nummerinformationen väntar på kommandon från hanteringsservern. Den skickar uppgifter till trojanen, som innehåller adresserna till webbplatser som ska laddas ner och kodas i JavaScript-format. Den här koden används för att styra klickaren via JavascriptInterface, visa popup-meddelanden på enheten, utföra klick på webbsidor och andra åtgärder.
Efter att ha fått webbplatsens adress, öppnar den i en osynlig WebView, där det tidigare accepterade JavaScriptet med parametrar för klick också laddas. Efter att ha öppnat en webbplats med en premiumtjänst klickar trojanen automatiskt på de nödvändiga länkarna och knapparna. Därefter får han verifieringskoder från SMS och bekräftar självständigt prenumerationen.
Trots att klickern inte har funktionen att arbeta med SMS och komma åt meddelanden går den förbi denna begränsning. Den går såhär. Trojantjänsten övervakar aviseringar från applikationen, som som standard är tilldelad att fungera med SMS. När ett meddelande kommer, döljer tjänsten motsvarande systemavisering. Den extraherar sedan information om det mottagna SMS:et från det och sänder det till den trojanska sändningsmottagaren. Som ett resultat av detta ser användaren inga aviseringar om inkommande SMS och är inte medveten om vad som händer. Han lär sig att prenumerera på tjänsten först när pengar börjar försvinna från hans konto, eller när han går till meddelandemenyn och ser SMS relaterade till premiumtjänsten.
Efter att Doctor Web-specialister kontaktade Google togs de upptäckta skadliga applikationerna bort från Google Play. Alla kända modifieringar av denna klicker upptäcks och tas bort framgångsrikt av Dr.Webs antivirusprodukter för Android och utgör därför inte ett hot mot våra användare.
Källa: will.com