Doctor Web дар феҳристи расмии замимаҳои Android трояни кликро кашф кард, ки қодир аст ба таври худкор корбаронро ба хидматҳои пулакӣ обуна кунад. Таҳлилгарони вирус чанд тағйироти ин барномаи зарароварро муайян кардаанд, ки ном дорад , и . Барои пинҳон кардани ҳадафи аслии худ ва инчунин кам кардани эҳтимолияти ошкор шудани троян, ҳамлагарон якчанд усулҳоро истифода бурданд.
Якум, онҳо кликҳоро дар барномаҳои безарар — камераҳо ва коллексияи тасвирҳо сохтанд, ки вазифаҳои пешбинишудаи онҳоро иҷро мекарданд. Дар натиҷа, барои корбарон ва мутахассисони амнияти иттилоотӣ ягон сабаби равшане вуҷуд надошт, ки онҳоро ҳамчун таҳдид арзёбӣ кунанд.
Дуюм, ҳама нармафзори зараровар аз ҷониби бастасози тиҷоратии Jiagu ҳифз карда шуд, ки ошкор кардани антивирусҳо ва таҳлили кодҳоро мушкил мекунад. Ҳамин тариқ, троян имкони беҳтаре дошт, ки тавассути муҳофизати дохилии феҳристи Google Play пешгирӣ карда шавад.
Сеюм, нависандагони вирус кӯшиш карданд, ки Троянро ҳамчун китобхонаҳои маъруфи таблиғотӣ ва таҳлилӣ пинҳон кунанд. Пас аз он ки ба барномаҳои интиқолдиҳанда илова карда шуд, он дар SDK-ҳои мавҷудаи Facebook ва Adjust сохта шуда, дар байни ҷузъҳои онҳо пинҳон карда шуд.
Илова бар ин, клик ба таври интихобӣ ба корбарон ҳамла мекард: агар қурбонии эҳтимолӣ сокини яке аз кишварҳои мавриди таваҷҷуҳи ҳамлагарон набошад, он ягон амали зараровар анҷом намедиҳад.
Дар зер намунаҳои барномаҳое ҳастанд, ки дар онҳо троян ҷойгир шудааст:
Пас аз насб ва ба кор андохтани клик (минбаъд, тағир додани он ҳамчун намуна истифода мешавад ) кӯшиш мекунад, ки бо нишон додани дархости зерин ба огоҳиномаҳои системаи оператсионӣ дастрасӣ пайдо кунад:
Агар корбар розӣ шавад, ки ба ӯ иҷозатҳои заруриро диҳад, троян метавонад ҳама огоҳиҳоро дар бораи SMS-ҳои воридотӣ пинҳон кунад ва матнҳои паёмҳоро боздорад.
Баъдан, клик маълумоти техникӣ дар бораи дастгоҳи сироятшударо ба сервери назорат интиқол медиҳад ва рақами силсилавии SIM-корти қурбониро тафтиш мекунад. Агар он ба яке аз кишварҳои мавриди ҳадаф мувофиқат кунад, маълумотро дар бораи рақами телефони бо он алоқаманд ба сервер мефиристад. Ҳамзамон, клик ба корбарони кишварҳои алоҳида равзанаи фишингро нишон медиҳад, ки дар он аз онҳо хоҳиш мекунанд, ки рақам ворид кунанд ё ба ҳисоби Google-и худ ворид шаванд:
Агар сим-корти ҷабрдида ба кишвари мавриди таваҷҷӯҳи ҳамлагарон тааллуқ надошта бошад, троян ягон чора намебинад ва фаъолияти зарароварашро қатъ мекунад. Тағиротҳои таҳқиқшудаи клик ба сокинони кишварҳои зерин ҳамла мекунанд:
- Австрия
- Италия
- Фаронса
- Таиланд
- Малайзия
- Олмон
- Қатар
- Лаҳистон
- Юнон
- Ирландия
Пас аз интиқоли маълумоти рақам мунтазири фармонҳо аз сервери идора мешавад. Он ба Троян вазифаҳоро мефиристад, ки дар он суроғаҳои вебсайтҳо барои зеркашӣ ва рамзгузорӣ дар формати JavaScript мавҷуд аст. Ин код барои идора кардани клик тавассути JavascriptInterface, намоиши паёмҳои поп-ап дар дастгоҳ, иҷро кардани кликҳо дар саҳифаҳои интернетӣ ва дигар амалҳо истифода мешавад.
Бо гирифтани суроғаи сайт, онро дар WebView ноаён мекушояд, ки дар он JavaScript-и қаблан қабулшуда бо параметрҳои кликҳо низ бор карда мешавад. Пас аз кушодани вебсайт бо хидмати премиум, троян ба таври худкор истинодҳо ва тугмаҳои заруриро клик мекунад. Сипас, ӯ аз SMS рамзҳои тасдиқро мегирад ва мустақилона обунаро тасдиқ мекунад.
Сарфи назар аз он, ки клик функсияи кор бо SMS ва дастрасӣ ба паёмҳоро надорад, вай ин маҳдудиятро убур мекунад. Чунин меравад. Хидмати троянӣ огоҳиномаҳоро аз барнома назорат мекунад, ки ба таври нобаёнӣ барои кор бо SMS таъин шудааст. Вақте ки паём меояд, хидмат огоҳии дахлдори системаро пинҳон мекунад. Сипас, он маълумотро дар бораи SMS-и қабулшуда аз он хориҷ мекунад ва онро ба қабулкунандаи пахши троянӣ интиқол медиҳад. Дар натиҷа, корбар ҳеҷ гуна огоҳиномаро дар бораи SMS-ҳои воридотӣ намебинад ва аз рӯйдодҳо огоҳ нест. Ӯ дар бораи обуна шудан ба хидмат танҳо вақте огоҳ мешавад, ки пул аз ҳисоби ӯ нопадид мешавад ё ба менюи паёмҳо меравад ва SMS-и марбут ба хидмати премиумро мебинад.
Пас аз тамоси мутахассисони Doctor Web, барномаҳои зараровар аз Google Play хориҷ карда шуданд. Ҳама дигаргуниҳои маълуми ин кликро маҳсулоти антивирусии Dr.Web барои Android бомуваффақият ошкор ва нест мекунанд ва аз ин рӯ ба корбарони мо таҳдид намекунанд.
Манбаъ: will.com