Doctor Web amegundua Trojan ya kubofya katika orodha rasmi ya programu za Android ambayo ina uwezo wa kuwasajili kiotomatiki watumiaji kwenye huduma zinazolipishwa. Wachambuzi wa virusi wamegundua marekebisho kadhaa ya programu hii mbaya, inayoitwa , и . Ili kuficha kusudi lao la kweli na kupunguza uwezekano wa kugundua Trojan, washambuliaji walitumia mbinu kadhaa.
Kwanza, walitengeneza vibofya katika programu zisizo na hatia—kamera na mikusanyo ya picha—zilizofanya kazi zilizokusudiwa. Kwa hivyo, hakukuwa na sababu ya wazi kwa watumiaji na wataalamu wa usalama wa habari kuwaona kama tishio.
Pili, programu hasidi zote zililindwa na kifurushi cha kibiashara cha Jiagu, ambacho hutatiza ugunduzi na antivirus na kutatiza uchanganuzi wa msimbo. Kwa njia hii, Trojan ilikuwa na nafasi nzuri ya kuepuka kutambuliwa na ulinzi uliojengewa ndani wa saraka ya Google Play.
Tatu, waandishi wa virusi walijaribu kuficha Trojan kama maktaba zinazojulikana za utangazaji na uchanganuzi. Baada ya kuongezwa kwa programu za mtoa huduma, ilijengwa ndani ya SDK kutoka Facebook na Rekebisha zilizopo ndani yao, kujificha kati ya vipengele vyao.
Kwa kuongezea, kibofyo kilishambulia watumiaji kwa kuchagua: haikufanya vitendo vyovyote vibaya ikiwa mwathiriwa anayewezekana hakuwa mkazi wa moja ya nchi zinazovutia washambuliaji.
Ifuatayo ni mifano ya programu zilizo na Trojan iliyopachikwa ndani yake:
Baada ya kusanikisha na kuzindua kibofya (hapa, marekebisho yake yatatumika kama mfano ) hujaribu kufikia arifa za mfumo wa uendeshaji kwa kuonyesha ombi lifuatalo:
Ikiwa mtumiaji atakubali kumpa ruhusa zinazohitajika, Trojan itaweza kuficha arifa zote kuhusu SMS zinazoingia na kunasa maandishi ya ujumbe.
Ifuatayo, kibofyo hutuma data ya kiufundi kuhusu kifaa kilichoambukizwa kwa seva ya kudhibiti na kuangalia nambari ya serial ya SIM kadi ya mwathirika. Ikiwa inalingana na mojawapo ya nchi zinazolengwa, hutuma kwa seva taarifa kuhusu nambari ya simu inayohusishwa nayo. Wakati huo huo, kibofya huonyesha watumiaji kutoka nchi fulani dirisha la kuhadaa ili kupata maelezo ya kibinafsi ambapo huwauliza waweke nambari au waingie kwenye akaunti yao ya Google:
Ikiwa SIM kadi ya mwathirika sio ya nchi ya maslahi kwa washambuliaji, Trojan haichukui hatua na inasimamisha shughuli zake mbaya. Marekebisho yaliyotafitiwa ya wakazi wa mashambulizi ya kubofya katika nchi zifuatazo:
- Austria
- Italia
- Ufaransa
- Thailand
- Malaysia
- Ujerumani
- Qatar
- Польша
- Ugiriki
- Ireland
Baada ya kutuma habari ya nambari inasubiri amri kutoka kwa seva ya usimamizi. Inatuma kazi kwa Trojan, ambayo ina anwani za tovuti za kupakua na msimbo katika umbizo la JavaScript. Msimbo huu hutumika kudhibiti kibofyo kupitia Kiolesura cha Javascript, kuonyesha jumbe ibukizi kwenye kifaa, kubofya kurasa za wavuti na vitendo vingine.
Baada ya kupokea anwani ya tovuti, huifungua katika Mwonekano wa Wavuti usioonekana, ambapo JavaScript iliyokubaliwa hapo awali iliyo na vigezo vya kubofya pia imepakiwa. Baada ya kufungua tovuti na huduma ya malipo, Trojan moja kwa moja kubofya viungo muhimu na vifungo. Ifuatayo, anapokea nambari za uthibitishaji kutoka kwa SMS na anathibitisha kwa uhuru usajili.
Licha ya ukweli kwamba kibofya haina kazi ya kufanya kazi na SMS na kufikia ujumbe, inapita kikomo hiki. Inakwenda hivi. Huduma ya Trojan hufuatilia arifa kutoka kwa programu, ambayo kwa chaguo-msingi hupewa kufanya kazi na SMS. Ujumbe unapofika, huduma huficha arifa inayolingana ya mfumo. Kisha hutoa taarifa kuhusu SMS iliyopokelewa kutoka kwayo na kuisambaza kwa kipokezi cha utangazaji cha Trojan. Kwa hivyo, mtumiaji haoni arifa zozote kuhusu SMS zinazoingia na hajui kinachoendelea. Anajifunza kuhusu kujiandikisha kwa huduma tu wakati pesa zinapoanza kutoweka kutoka kwa akaunti yake, au anapoenda kwenye menyu ya ujumbe na kuona SMS zinazohusiana na huduma ya malipo.
Baada ya wataalamu wa Wavuti ya Daktari kuwasiliana na Google, programu hasidi zilizotambuliwa ziliondolewa kutoka kwa Google Play. Marekebisho yote yanayojulikana ya kibofyo hiki yametambuliwa na kuondolewa kwa ufanisi na bidhaa za kingavirusi za Dr.Web za Android na kwa hivyo hazileti tishio kwa watumiaji wetu.
Chanzo: mapenzi.com