புரோஹோஸ்டர் > Блог > நிர்வாகம் > ஆண்ட்ராய்டு கிளிக்கர், கட்டணச் சேவைகளுக்குப் பயனர்களைப் பதிவு செய்கிறார்

ஆண்ட்ராய்டு கிளிக்கர், கட்டணச் சேவைகளுக்குப் பயனர்களைப் பதிவு செய்கிறார்

ஆண்ட்ராய்டு பயன்பாடுகளின் அதிகாரப்பூர்வ பட்டியலில் ஒரு கிளிக்கர் ட்ரோஜனை டாக்டர் வெப் கண்டுபிடித்துள்ளது, இது பயனர்கள் கட்டண சேவைகளுக்கு தானாக குழுசேரும் திறன் கொண்டது. இந்த தீங்கிழைக்கும் திட்டத்தின் பல மாற்றங்களை வைரஸ் ஆய்வாளர்கள் கண்டறிந்துள்ளனர் Android.Click.322.origin, Android.Click.323.origin и Android.Click.324.origin. அவர்களின் உண்மையான நோக்கத்தை மறைக்க மற்றும் ட்ரோஜனைக் கண்டறிவதற்கான வாய்ப்பைக் குறைக்க, தாக்குபவர்கள் பல நுட்பங்களைப் பயன்படுத்தினர்.

முதலாவதாக, அவர்கள் க்ளிக்கர்களை பாதிப்பில்லாத பயன்பாடுகளில்-கேமராக்கள் மற்றும் பட சேகரிப்புகள்-அவற்றின் நோக்கம் கொண்ட செயல்பாடுகளைச் செய்தார்கள். இதன் விளைவாக, பயனர்கள் மற்றும் தகவல் பாதுகாப்பு வல்லுநர்கள் அவர்களை அச்சுறுத்தலாகப் பார்ப்பதற்கு தெளிவான காரணம் எதுவும் இல்லை.

இரண்டாவதாக, அனைத்து தீம்பொருள்களும் வணிக ஜியாகு பேக்கேஜரால் பாதுகாக்கப்படுகின்றன, இது வைரஸ் தடுப்புகளால் கண்டறிவதை சிக்கலாக்கும் மற்றும் குறியீடு பகுப்பாய்வை சிக்கலாக்கும். இந்த வழியில், Google Play கோப்பகத்தின் உள்ளமைந்த பாதுகாப்பின் மூலம் ட்ரோஜனைக் கண்டறிவதைத் தவிர்ப்பதற்கான சிறந்த வாய்ப்பு உள்ளது.

மூன்றாம், வைரஸ் எழுத்தாளர்கள் ட்ரோஜனை நன்கு அறியப்பட்ட விளம்பரம் மற்றும் பகுப்பாய்வு நூலகங்களாக மறைக்க முயன்றனர். கேரியர் நிரல்களில் சேர்க்கப்பட்டதும், அது Facebook மற்றும் அட்ஜஸ்ட் ஆகியவற்றிலிருந்து ஏற்கனவே உள்ள SDKகளில் கட்டமைக்கப்பட்டு, அவற்றின் கூறுகளுக்கு இடையில் மறைந்திருக்கும்.

கூடுதலாக, கிளிக் செய்பவர் பயனர்களைத் தேர்ந்தெடுத்துத் தாக்கினார்: சாத்தியமான பாதிக்கப்பட்டவர் தாக்குபவர்களுக்கு ஆர்வமுள்ள நாடுகளில் ஒன்றில் வசிப்பவராக இல்லாவிட்டால், அது எந்த தீங்கிழைக்கும் செயல்களையும் செய்யாது.

ட்ரோஜன் உட்பொதிக்கப்பட்ட பயன்பாடுகளின் எடுத்துக்காட்டுகள் கீழே உள்ளன:

ஆண்ட்ராய்டு கிளிக்கர், கட்டணச் சேவைகளுக்குப் பயனர்களைப் பதிவு செய்கிறார்

ஆண்ட்ராய்டு கிளிக்கர், கட்டணச் சேவைகளுக்குப் பயனர்களைப் பதிவு செய்கிறார்

கிளிக்கரை நிறுவி துவக்கிய பிறகு (இனிமேல், அதன் மாற்றம் உதாரணமாகப் பயன்படுத்தப்படும் Android.Click.322.origin) பின்வரும் கோரிக்கையைக் காண்பிப்பதன் மூலம் இயக்க முறைமை அறிவிப்புகளை அணுக முயற்சிக்கிறது:

ஆண்ட்ராய்டு கிளிக்கர், கட்டணச் சேவைகளுக்குப் பயனர்களைப் பதிவு செய்கிறார் ஆண்ட்ராய்டு கிளிக்கர், கட்டணச் சேவைகளுக்குப் பயனர்களைப் பதிவு செய்கிறார்

பயனர் அவருக்கு தேவையான அனுமதிகளை வழங்க ஒப்புக்கொண்டால், ட்ரோஜன் உள்வரும் SMS மற்றும் குறுக்கீடு செய்தி உரைகள் பற்றிய அனைத்து அறிவிப்புகளையும் மறைக்க முடியும்.

அடுத்து, கிளிக் செய்பவர் பாதிக்கப்பட்ட சாதனத்தைப் பற்றிய தொழில்நுட்பத் தரவை கட்டுப்பாட்டு சேவையகத்திற்கு அனுப்புகிறார் மற்றும் பாதிக்கப்பட்டவரின் சிம் கார்டின் வரிசை எண்ணைச் சரிபார்க்கிறார். இலக்கு நாடுகளில் ஒன்றோடு பொருந்தினால், Android.Click.322.origin அதனுடன் தொடர்புடைய தொலைபேசி எண்ணைப் பற்றிய தகவலை சேவையகத்திற்கு அனுப்புகிறது. அதே நேரத்தில், கிளிக் செய்பவர் குறிப்பிட்ட நாடுகளைச் சேர்ந்த பயனர்களுக்கு ஒரு ஃபிஷிங் சாளரத்தைக் காட்டுகிறார், அங்கு அவர்கள் எண்ணை உள்ளிடுமாறு அல்லது அவர்களின் Google கணக்கில் உள்நுழையுமாறு கேட்கிறார்கள்:

ஆண்ட்ராய்டு கிளிக்கர், கட்டணச் சேவைகளுக்குப் பயனர்களைப் பதிவு செய்கிறார்

பாதிக்கப்பட்டவரின் சிம் கார்டு தாக்குபவர்களுக்கு விருப்பமான நாட்டிற்கு சொந்தமானதாக இல்லாவிட்டால், ட்ரோஜன் எந்த நடவடிக்கையும் எடுக்கவில்லை மற்றும் அதன் தீங்கிழைக்கும் செயல்பாட்டை நிறுத்துகிறது. கிளிக்கர் தாக்குதலின் ஆராய்ச்சி செய்யப்பட்ட மாற்றங்கள் பின்வரும் நாடுகளில் வசிப்பவர்கள்:

  • ஆஸ்திரியா
  • இத்தாலி
  • பிரான்ஸ்
  • Таиланд
  • Малайзия
  • ஜெர்மனி
  • கத்தார்
  • போலந்து
  • கிரீஸ்
  • அயர்லாந்து

எண் தகவலை அனுப்பிய பிறகு Android.Click.322.origin மேலாண்மை சேவையகத்திலிருந்து கட்டளைகளுக்காக காத்திருக்கிறது. இது ஜாவாஸ்கிரிப்ட் வடிவத்தில் பதிவிறக்கம் செய்து குறியீடு செய்ய இணையதளங்களின் முகவரிகளைக் கொண்ட ட்ரோஜனுக்கு பணிகளை அனுப்புகிறது. இந்தக் குறியீடு JavascriptInterface மூலம் கிளிக் செய்பவரைக் கட்டுப்படுத்தவும், சாதனத்தில் பாப்-அப் செய்திகளைக் காட்டவும், இணையப் பக்கங்களில் கிளிக் செய்யவும் மற்றும் பிற செயல்களைச் செய்யவும் பயன்படுகிறது.

தள முகவரி கிடைத்ததும், Android.Click.322.origin ஒரு கண்ணுக்குத் தெரியாத WebView இல் அதைத் திறக்கிறது, அங்கு கிளிக்குகளுக்கான அளவுருக்களுடன் முன்பு ஏற்றுக்கொள்ளப்பட்ட ஜாவாஸ்கிரிப்டும் ஏற்றப்படும். பிரீமியம் சேவையுடன் இணையதளத்தைத் திறந்த பிறகு, ட்ரோஜன் தானாகவே தேவையான இணைப்புகள் மற்றும் பொத்தான்களைக் கிளிக் செய்கிறது. அடுத்து, அவர் எஸ்எம்எஸ் மூலம் சரிபார்ப்புக் குறியீடுகளைப் பெறுகிறார் மற்றும் சந்தாவை சுயாதீனமாக உறுதிப்படுத்துகிறார்.

எஸ்எம்எஸ் உடன் பணிபுரியும் மற்றும் செய்திகளை அணுகும் செயல்பாடு கிளிக் செய்பவருக்கு இல்லை என்ற போதிலும், இது இந்த வரம்பை மீறுகிறது. இது இப்படி செல்கிறது. ட்ரோஜன் சேவையானது பயன்பாட்டிலிருந்து அறிவிப்புகளை கண்காணிக்கிறது, இது இயல்பாகவே SMS உடன் பணிபுரிய ஒதுக்கப்படும். ஒரு செய்தி வந்தவுடன், சேவையானது தொடர்புடைய கணினி அறிவிப்பை மறைக்கிறது. அது பெறப்பட்ட SMS பற்றிய தகவலை அதிலிருந்து பிரித்தெடுத்து ட்ரோஜன் ஒளிபரப்பு பெறுநருக்கு அனுப்புகிறது. இதன் விளைவாக, உள்வரும் எஸ்எம்எஸ் பற்றிய எந்த அறிவிப்புகளையும் பயனர் பார்க்கவில்லை மற்றும் என்ன நடக்கிறது என்பது பற்றி தெரியாது. அவர் தனது கணக்கில் இருந்து பணம் மறையத் தொடங்கும் போது அல்லது செய்திகள் மெனுவிற்குச் சென்று பிரீமியம் சேவை தொடர்பான SMS ஐப் பார்க்கும்போது மட்டுமே சேவைக்கு குழுசேருவது பற்றி அறிந்து கொள்கிறார்.

Doctor Web நிபுணர்கள் Googleஐத் தொடர்புகொண்ட பிறகு, கண்டறியப்பட்ட தீங்கிழைக்கும் பயன்பாடுகள் Google Play இலிருந்து அகற்றப்பட்டன. இந்த கிளிக்கரின் அனைத்து அறியப்பட்ட மாற்றங்களும் Android க்கான Dr.Web வைரஸ் எதிர்ப்பு தயாரிப்புகளால் வெற்றிகரமாக கண்டறியப்பட்டு அகற்றப்பட்டன, எனவே எங்கள் பயனர்களுக்கு அச்சுறுத்தலை ஏற்படுத்த வேண்டாம்.

Android.Click.322.origin பற்றி மேலும் அறிக

ஆதாரம்: www.habr.com

கருத்தைச் சேர்