Doctor Web har upptäckt en klickertrojan i den officiella katalogen av Android-applikationer som kan automatiskt prenumerera användare på betaltjänster. Virusanalytiker har identifierat flera modifieringar av detta skadliga program, kallat
Först, byggde de in klickare i ofarliga applikationer – kameror och bildsamlingar – som utförde sina avsedda funktioner. Som ett resultat fanns det ingen tydlig anledning för användare och informationssäkerhetsproffs att se dem som ett hot.
Andra, skyddades all skadlig kod av den kommersiella Jiagu-paketeraren, vilket komplicerar upptäckt av antivirus och komplicerar kodanalys. På så sätt hade trojanen en bättre chans att undvika upptäckt genom det inbyggda skyddet i Google Play-katalogen.
För det tredje, försökte virusskribenter att maskera trojanen som välkända reklam- och analytiska bibliotek. När den väl lades till i bärarprogrammen byggdes den in i de befintliga SDK:erna från Facebook och Adjust och gömde sig bland deras komponenter.
Dessutom attackerade klickaren användare selektivt: den utförde inga skadliga handlingar om det potentiella offret inte var bosatt i något av länderna av intresse för angriparna.
Nedan finns exempel på applikationer med en trojan inbäddad i dem:
Efter installation och start av klickern (hädanefter kommer dess modifiering att användas som ett exempel
Om användaren går med på att ge honom de nödvändiga behörigheterna kommer trojanen att kunna dölja alla meddelanden om inkommande SMS och avlyssna meddelandetexter.
Därefter överför klickaren tekniska data om den infekterade enheten till kontrollservern och kontrollerar serienumret på offrets SIM-kort. Om det matchar ett av målländerna,
Om offrets SIM-kort inte tillhör landet av intresse för angriparna, vidtar trojanen ingen åtgärd och stoppar sin skadliga aktivitet. De undersökta ändringarna av klickerattacken invånare i följande länder:
- Österrike
- Italien
- Frankrike
- Thailand
- Malaysia
- Tyskland
- qatar
- Polen
- Grekland
- Irland
Efter att ha överfört nummerinformationen
Efter att ha fått webbplatsens adress,
Trots att klickern inte har funktionen att arbeta med SMS och komma åt meddelanden går den förbi denna begränsning. Den går såhär. Trojantjänsten övervakar aviseringar från applikationen, som som standard är tilldelad att fungera med SMS. När ett meddelande kommer, döljer tjänsten motsvarande systemavisering. Den extraherar sedan information om det mottagna SMS:et från det och sänder det till den trojanska sändningsmottagaren. Som ett resultat av detta ser användaren inga aviseringar om inkommande SMS och är inte medveten om vad som händer. Han lär sig att prenumerera på tjänsten först när pengar börjar försvinna från hans konto, eller när han går till meddelandemenyn och ser SMS relaterade till premiumtjänsten.
Efter att Doctor Web-specialister kontaktade Google togs de upptäckta skadliga applikationerna bort från Google Play. Alla kända modifieringar av denna klicker upptäcks och tas bort framgångsrikt av Dr.Webs antivirusprodukter för Android och utgör därför inte ett hot mot våra användare.