Natuklasan ng Doctor Web ang isang clicker Trojan sa opisyal na catalog ng mga Android application na may kakayahang awtomatikong mag-subscribe sa mga user sa mga bayad na serbisyo. Natukoy ng mga analyst ng virus ang ilang mga pagbabago sa malisyosong programang ito, na tinatawag na
Una, gumawa sila ng mga clicker sa mga hindi nakapipinsalang applicationβmga camera at koleksyon ng larawanβna gumanap ng kanilang mga nilalayon na function. Bilang resulta, walang malinaw na dahilan para sa mga user at mga propesyonal sa seguridad ng impormasyon na tingnan sila bilang isang banta.
Ikalawa, ang lahat ng malware ay protektado ng komersyal na Jiagu packager, na nagpapalubha sa pagtuklas ng mga antivirus at nagpapalubha sa pagsusuri ng code. Sa ganitong paraan, nagkaroon ng mas magandang pagkakataon ang Trojan na maiwasan ang pagtuklas ng built-in na proteksyon ng direktoryo ng Google Play.
Sa ikatlo, sinubukan ng mga manunulat ng virus na itago ang Trojan bilang mga kilalang advertising at analytical na mga aklatan. Sa sandaling idinagdag sa mga programa ng carrier, itinayo ito sa mga umiiral nang SDK mula sa Facebook at Adjust, na nagtatago sa mga bahagi ng mga ito.
Bilang karagdagan, pinili ng clicker ang mga user: hindi ito nagsagawa ng anumang malisyosong pagkilos kung ang potensyal na biktima ay hindi residente ng isa sa mga bansang kinaiinteresan ng mga umaatake.
Nasa ibaba ang mga halimbawa ng mga application na may Trojan na naka-embed sa mga ito:
Pagkatapos i-install at ilunsad ang clicker (pagkatapos nito, ang pagbabago nito ay gagamitin bilang isang halimbawa
Kung sumang-ayon ang user na bigyan siya ng mga kinakailangang pahintulot, magagawa ng Trojan na itago ang lahat ng mga notification tungkol sa mga papasok na SMS at maharang ang mga text message.
Susunod, ang clicker ay nagpapadala ng teknikal na data tungkol sa nahawaang device sa control server at sinusuri ang serial number ng SIM card ng biktima. Kung tumugma ito sa isa sa mga target na bansa,
Kung ang SIM card ng biktima ay hindi kabilang sa bansang kinaiinteresan ng mga umaatake, ang Trojan ay hindi gagawa ng aksyon at ititigil ang malisyosong aktibidad nito. Ang mga sinaliksik na pagbabago ng mga residente ng clicker attack sa mga sumusunod na bansa:
- Awstrya
- Italiya
- Pransiya
- Thailand
- Malaisiya
- Alemanya
- Qatar
- Poland
- Gresya
- Irlanda
Matapos ipadala ang impormasyon ng numero
Nang matanggap ang address ng site,
Sa kabila ng katotohanan na ang clicker ay walang function ng pagtatrabaho sa SMS at pag-access ng mga mensahe, nilalampasan nito ang limitasyong ito. Ganito iyan. Sinusubaybayan ng serbisyo ng Trojan ang mga abiso mula sa application, na bilang default ay itinalaga upang gumana sa SMS. Kapag dumating ang isang mensahe, itinatago ng serbisyo ang kaukulang notification ng system. Pagkatapos ay kinukuha nito ang impormasyon tungkol sa natanggap na SMS mula dito at ipinapadala ito sa Trojan broadcast receiver. Bilang resulta, ang user ay hindi nakakakita ng anumang mga abiso tungkol sa papasok na SMS at hindi alam kung ano ang nangyayari. Natututo lang siya tungkol sa pag-subscribe sa serbisyo kapag nagsimulang mawala ang pera sa kanyang account, o kapag pumunta siya sa menu ng mga mensahe at nakakita ng SMS na nauugnay sa premium na serbisyo.
Matapos makipag-ugnayan ang mga espesyalista sa Doctor Web sa Google, inalis ang mga nakitang nakakahamak na application sa Google Play. Ang lahat ng kilalang pagbabago ng clicker na ito ay matagumpay na natukoy at naalis ng mga produktong anti-virus ng Dr.Web para sa Android at samakatuwid ay hindi nagbibigay ng banta sa aming mga user.
Pinagmulan: www.habr.com