Компанія "Доктор Веб" виявила в офіційному каталозі Android-додатків троянця-клікера, який здатний автоматично підписувати користувачів на платні сервіси. Вірусні аналітики виявили кілька модифікацій цієї шкідливої програми, які отримали імена
По-перше, вони вбудували клікера в нешкідливі програми - фотокамери та збірки зображень, - які виконували заявлені функції. В результаті користувачів та фахівців з інформаційної безпеки не мали явних причин розглядати їх як загрозу.
По-друге, всі шкідливі програми були захищені комерційним пакувальником Jiagu, який ускладнює детектування антивірусами та ускладнює аналіз коду. Таким чином, у троянця було більше шансів уникнути виявлення вбудованого захисту каталогу Google Play.
По-третє, вірусописьменники намагалися замаскувати троянця під відомі рекламно-аналітичні бібліотеки Після додавання в програми-носії він вбудовувався в SDK, що були в них, від Facebook і Adjust, ховаючись серед їх компонентів.
Крім того, клікер атакував користувачів вибірково: він не виконував жодних шкідливих дій, якщо потенційна жертва не була жителем однієї з зловмисників країн, що цікавлять.
Нижче наведено приклади додатків із впровадженим у них троянцем:
Після встановлення та запуску клікер (тут і далі як приклад буде виступати його модифікація
Якщо користувач погодиться надати йому необхідні дозволи, троянець зможе приховувати всі повідомлення про вхідні SMS та перехоплювати тексти повідомлень.
Далі клікер передає на керуючий сервер технічні дані про заражений пристрій та перевіряє серійний номер SIM-картки жертви. Якщо та відповідає одній з цільових країн,
Якщо ж SIM-карта жертви не належить до країни, що цікавить зловмисників, троянець не робить жодних дій і припиняє шкідливу діяльність. Досліджені модифікації клікера атакують мешканців наступних держав:
- Австрія
- Італія
- Франція
- Таїланд
- Малайзія
- Німеччина
- Катар
- Польща
- Греція
- Ірландія
Після передачі інформації про номер
Отримавши адресу сайту,
Незважаючи на те, що клікер не має функції роботи з СМС і доступу до повідомлень, він обходить це обмеження. Це відбувається в такий спосіб. Троянський сервіс стежить за повідомленнями від програми, яка за умовчанням призначена на роботу із СМС. Коли надходить повідомлення, сервіс приховує відповідне системне повідомлення. Потім він отримує з нього інформацію про отриманий СМС і передає її троянському широкомовному приймачеві. В результаті користувач не бачить жодних повідомлень про вхідні СМС і не знає про те, що відбувається. Про підписку на послугу він дізнається лише тоді, коли з його рахунку почнуть пропадати гроші, або коли він зайде в меню повідомлень і побачить SMS, пов'язані з преміум-сервісом.
Після звернення фахівців «Доктор Веб» до Google виявлені шкідливі програми були видалені з Google Play. Всі відомі модифікації цього клікера успішно детектуються і видаляються антивірусними продуктами Dr.Web для Android і тому не загрожують нашим користувачам.