Doctor Web, Android uygulamalarının resmi kataloğunda, kullanıcıları ücretli hizmetlere otomatik olarak abone edebilen bir tıklama Truva Atı keşfetti. Virüs analistleri bu kötü amaçlı programın çeşitli modifikasyonlarını belirlediler. , и . Saldırganlar, gerçek amaçlarını gizlemek ve Truva atının tespit edilme olasılığını azaltmak için çeşitli teknikler kullandı.
Ilk olarak, amaçlanan işlevleri yerine getiren zararsız uygulamalara (kameralar ve görüntü koleksiyonları) tıklayıcılar yerleştirdiler. Sonuç olarak, kullanıcıların ve bilgi güvenliği profesyonellerinin bunları bir tehdit olarak görmesinin açık bir nedeni yoktu.
Ikinci olarak, tüm kötü amaçlı yazılımlar ticari Jiagu paketleyicisi tarafından korunuyordu, bu da antivirüslerin tespitini zorlaştırıyor ve kod analizini zorlaştırıyor. Bu şekilde Truva Atı'nın, Google Play dizininin yerleşik koruması tarafından tespit edilmekten kaçınma şansı daha yüksek oldu.
Üçüncü olarak, virüs yazarları Truva atını iyi bilinen reklam ve analitik kütüphaneler olarak gizlemeye çalıştı. Taşıyıcı programlara eklendikten sonra, Facebook veAdjust'ın mevcut SDK'larına entegre edilerek bileşenleri arasında saklandı.
Buna ek olarak, tıklayıcı kullanıcılara seçici olarak saldırdı: Potansiyel kurban, saldırganların ilgilendiği ülkelerden birinde ikamet etmiyorsa herhangi bir kötü niyetli eylem gerçekleştirmedi.
Aşağıda, içinde Truva Atı bulunan uygulamaların örnekleri verilmiştir:
Tıklayıcıyı kurup başlattıktan sonra (bundan sonra modifikasyonu örnek olarak kullanılacaktır) ) aşağıdaki isteği göstererek işletim sistemi bildirimlerine erişmeye çalışır:
Kullanıcı kendisine gerekli izinleri vermeyi kabul ederse Truva Atı, gelen SMS ile ilgili tüm bildirimleri gizleyebilecek ve mesaj metinlerine müdahale edebilecek.
Daha sonra tıklayıcı, virüslü cihazla ilgili teknik verileri kontrol sunucusuna iletir ve kurbanın SIM kartının seri numarasını kontrol eder. Hedef ülkelerden biriyle eşleşiyorsa, kendisiyle ilişkili telefon numarası hakkındaki bilgileri sunucuya gönderir. Tıklayıcı aynı zamanda belirli ülkelerdeki kullanıcılara, onlardan bir numara girmelerini veya Google hesaplarına giriş yapmalarını istedikleri bir kimlik avı penceresi gösterir:
Kurbanın SIM kartı saldırganların ilgilendiği ülkeye ait değilse Truva atı hiçbir işlem yapmaz ve kötü niyetli faaliyetlerini durdurur. Aşağıdaki ülkelerin tıklama saldırısı sakinlerinde araştırılan değişiklikler:
- Avusturya
- İtalya
- Fransa
- Tayland
- Malezya
- Almanya
- Katar
- Polonya
- Yunanistan
- İrlanda
Numara bilgisini aktardıktan sonra yönetim sunucusundan komutları bekler. İndirilecek web sitelerinin adreslerini içeren ve JavaScript formatında kodlayan görevleri Truva atına gönderir. Bu kod, JavascriptInterface aracılığıyla tıklayıcıyı kontrol etmek, cihazda açılır mesajları görüntülemek, web sayfalarında tıklama gerçekleştirmek ve diğer eylemleri gerçekleştirmek için kullanılır.
Site adresini aldıktan sonra, onu görünmez bir Web Görünümünde açar; burada, tıklamalar için parametrelerle birlikte daha önce kabul edilen JavaScript de yüklenir. Trojan, premium hizmet içeren bir web sitesini açtıktan sonra otomatik olarak gerekli bağlantılara ve düğmelere tıklar. Daha sonra SMS'den doğrulama kodları alır ve aboneliği bağımsız olarak onaylar.
Tıklayıcının SMS ile çalışma ve mesajlara erişme işlevi olmamasına rağmen bu sınırlamayı aşar. Bu böyle devam ediyor. Truva atı hizmeti, varsayılan olarak SMS ile çalışacak şekilde atanan uygulamadan gelen bildirimleri izler. Bir mesaj geldiğinde hizmet, ilgili sistem bildirimini gizler. Daha sonra alınan SMS hakkındaki bilgileri alır ve bunu Truva atı yayın alıcısına iletir. Sonuç olarak kullanıcı gelen SMS ile ilgili herhangi bir bildirim görmüyor ve olup bitenden haberdar olmuyor. Hizmete abone olduğunu ancak hesabından para kaybolmaya başladığında veya mesajlar menüsüne gidip premium hizmetle ilgili SMS'i gördüğünde öğreniyor.
Doctor Web uzmanlarının Google ile iletişime geçmesinin ardından tespit edilen kötü amaçlı uygulamalar Google Play'den kaldırıldı. Bu tıklayıcının bilinen tüm değişiklikleri, Android için Dr.Web anti-virüs ürünleri tarafından başarıyla algılanıp kaldırılır ve bu nedenle kullanıcılarımız için bir tehdit oluşturmaz.
Kaynak: habr.com