Natuklasan ng Doctor Web ang isang clicker Trojan sa opisyal na catalog ng mga Android application na may kakayahang awtomatikong mag-subscribe sa mga user sa mga bayad na serbisyo. Natukoy ng mga analyst ng virus ang ilang mga pagbabago sa malisyosong programang ito, na tinatawag na , ΠΈ . Upang itago ang kanilang tunay na layunin at mabawasan din ang posibilidad na matuklasan ang Trojan, gumamit ang mga umaatake ng ilang mga diskarte.
Una, gumawa sila ng mga clicker sa mga hindi nakapipinsalang applicationβmga camera at koleksyon ng larawanβna gumanap ng kanilang mga nilalayon na function. Bilang resulta, walang malinaw na dahilan para sa mga user at mga propesyonal sa seguridad ng impormasyon na tingnan sila bilang isang banta.
Ikalawa, ang lahat ng malware ay protektado ng komersyal na Jiagu packager, na nagpapalubha sa pagtuklas ng mga antivirus at nagpapalubha sa pagsusuri ng code. Sa ganitong paraan, nagkaroon ng mas magandang pagkakataon ang Trojan na maiwasan ang pagtuklas ng built-in na proteksyon ng direktoryo ng Google Play.
Sa ikatlo, sinubukan ng mga manunulat ng virus na itago ang Trojan bilang mga kilalang advertising at analytical na mga aklatan. Sa sandaling idinagdag sa mga programa ng carrier, itinayo ito sa mga umiiral nang SDK mula sa Facebook at Adjust, na nagtatago sa mga bahagi ng mga ito.
Bilang karagdagan, pinili ng clicker ang mga user: hindi ito nagsagawa ng anumang malisyosong pagkilos kung ang potensyal na biktima ay hindi residente ng isa sa mga bansang kinaiinteresan ng mga umaatake.
Nasa ibaba ang mga halimbawa ng mga application na may Trojan na naka-embed sa mga ito:
Pagkatapos i-install at ilunsad ang clicker (pagkatapos nito, ang pagbabago nito ay gagamitin bilang isang halimbawa ) sumusubok na i-access ang mga notification ng operating system sa pamamagitan ng pagpapakita ng sumusunod na kahilingan:
Kung sumang-ayon ang user na bigyan siya ng mga kinakailangang pahintulot, magagawa ng Trojan na itago ang lahat ng mga notification tungkol sa mga papasok na SMS at maharang ang mga text message.
Susunod, ang clicker ay nagpapadala ng teknikal na data tungkol sa nahawaang device sa control server at sinusuri ang serial number ng SIM card ng biktima. Kung tumugma ito sa isa sa mga target na bansa, nagpapadala sa impormasyon ng server tungkol sa numero ng telepono na nauugnay dito. Kasabay nito, ipinapakita ng clicker sa mga user mula sa ilang partikular na bansa ang isang window ng phishing kung saan hinihiling nila sa kanila na maglagay ng numero o mag-log in sa kanilang Google account:
Kung ang SIM card ng biktima ay hindi kabilang sa bansang kinaiinteresan ng mga umaatake, ang Trojan ay hindi gagawa ng aksyon at ititigil ang malisyosong aktibidad nito. Ang mga sinaliksik na pagbabago ng mga residente ng clicker attack sa mga sumusunod na bansa:
- Awstrya
- Italiya
- Pransiya
- Thailand
- Malaisiya
- Alemanya
- Qatar
- Poland
- Gresya
- Irlanda
Matapos ipadala ang impormasyon ng numero naghihintay ng mga utos mula sa server ng pamamahala. Nagpapadala ito ng mga gawain sa Trojan, na naglalaman ng mga address ng mga website upang i-download at code sa format na JavaScript. Ginagamit ang code na ito upang kontrolin ang clicker sa pamamagitan ng JavascriptInterface, magpakita ng mga pop-up na mensahe sa device, magsagawa ng mga pag-click sa mga web page, at iba pang mga aksyon.
Nang matanggap ang address ng site, binubuksan ito sa isang invisible na WebView, kung saan nilo-load din ang dating tinanggap na JavaScript na may mga parameter para sa mga pag-click. Pagkatapos magbukas ng isang website na may premium na serbisyo, awtomatikong nag-click ang Trojan sa mga kinakailangang link at mga pindutan. Susunod, tumatanggap siya ng mga verification code mula sa SMS at independiyenteng kinukumpirma ang subscription.
Sa kabila ng katotohanan na ang clicker ay walang function ng pagtatrabaho sa SMS at pag-access ng mga mensahe, nilalampasan nito ang limitasyong ito. Ganito iyan. Sinusubaybayan ng serbisyo ng Trojan ang mga abiso mula sa application, na bilang default ay itinalaga upang gumana sa SMS. Kapag dumating ang isang mensahe, itinatago ng serbisyo ang kaukulang notification ng system. Pagkatapos ay kinukuha nito ang impormasyon tungkol sa natanggap na SMS mula dito at ipinapadala ito sa Trojan broadcast receiver. Bilang resulta, ang user ay hindi nakakakita ng anumang mga abiso tungkol sa papasok na SMS at hindi alam kung ano ang nangyayari. Natututo lang siya tungkol sa pag-subscribe sa serbisyo kapag nagsimulang mawala ang pera sa kanyang account, o kapag pumunta siya sa menu ng mga mensahe at nakakita ng SMS na nauugnay sa premium na serbisyo.
Matapos makipag-ugnayan ang mga espesyalista sa Doctor Web sa Google, inalis ang mga nakitang nakakahamak na application sa Google Play. Ang lahat ng kilalang pagbabago ng clicker na ito ay matagumpay na natukoy at naalis ng mga produktong anti-virus ng Dr.Web para sa Android at samakatuwid ay hindi nagbibigay ng banta sa aming mga user.
Pinagmulan: www.habr.com