Компанія "Доктор Веб" виявила в офіційному каталозі Android-додатків троянця-клікера, який здатний автоматично підписувати користувачів на платні сервіси. Вірусні аналітики виявили кілька модифікацій цієї шкідливої програми, які отримали імена , и . Щоб приховати їхнє справжнє призначення, а також знизити ймовірність виявлення троянця, зловмисники використовували кілька прийомів.
По-перше, вони вбудували клікера в нешкідливі програми - фотокамери та збірки зображень, - які виконували заявлені функції. В результаті користувачів та фахівців з інформаційної безпеки не мали явних причин розглядати їх як загрозу.
По-друге, всі шкідливі програми були захищені комерційним пакувальником Jiagu, який ускладнює детектування антивірусами та ускладнює аналіз коду. Таким чином, у троянця було більше шансів уникнути виявлення вбудованого захисту каталогу Google Play.
По-третє, вірусописьменники намагалися замаскувати троянця під відомі рекламно-аналітичні бібліотеки Після додавання в програми-носії він вбудовувався в SDK, що були в них, від Facebook і Adjust, ховаючись серед їх компонентів.
Крім того, клікер атакував користувачів вибірково: він не виконував жодних шкідливих дій, якщо потенційна жертва не була жителем однієї з зловмисників країн, що цікавлять.
Нижче наведено приклади додатків із впровадженим у них троянцем:
Після встановлення та запуску клікер (тут і далі як приклад буде виступати його модифікація ) намагається отримати доступ до повідомлень операційної системи, показуючи наступний запит:
Якщо користувач погодиться надати йому необхідні дозволи, троянець зможе приховувати всі повідомлення про вхідні SMS та перехоплювати тексти повідомлень.
Далі клікер передає на керуючий сервер технічні дані про заражений пристрій та перевіряє серійний номер SIM-картки жертви. Якщо та відповідає одній з цільових країн, відправляє на сервер інформацію про прив'язаний до неї номер телефону. При цьому користувачам з певних держав клікер показує вікно фішингу, де пропонує самостійно ввести номер або авторизуватися в обліковому записі Google:
Якщо ж SIM-карта жертви не належить до країни, що цікавить зловмисників, троянець не робить жодних дій і припиняє шкідливу діяльність. Досліджені модифікації клікера атакують мешканців наступних держав:
- Австрія
- Італія
- Франція
- Таїланд
- Малайзія
- Німеччина
- Катар
- Польща
- Греція
- Ірландія
Після передачі інформації про номер очікує команди від керуючого сервера. Той надсилає троянцю завдання, у яких містяться адреси веб-сайтів для завантаження та код у форматі JavaScript. Цей код використовується для керування клікером через інтерфейс JavascriptInterface, показу спливаючих повідомлень на пристрої, виконання натискань на веб-сторінках та інших дій.
Отримавши адресу сайту, відкриває його в невидимому WebView, куди також завантажується прийнятий JavaScript з параметрами для кліків. Після відкриття сайту із сервісом преміум-послуг троянець автоматично натискає на необхідні посилання та кнопки. Далі він отримує перевірочні коди із СМС та самостійно підтверджує підписку.
Незважаючи на те, що клікер не має функції роботи з СМС і доступу до повідомлень, він обходить це обмеження. Це відбувається в такий спосіб. Троянський сервіс стежить за повідомленнями від програми, яка за умовчанням призначена на роботу із СМС. Коли надходить повідомлення, сервіс приховує відповідне системне повідомлення. Потім він отримує з нього інформацію про отриманий СМС і передає її троянському широкомовному приймачеві. В результаті користувач не бачить жодних повідомлень про вхідні СМС і не знає про те, що відбувається. Про підписку на послугу він дізнається лише тоді, коли з його рахунку почнуть пропадати гроші, або коли він зайде в меню повідомлень і побачить SMS, пов'язані з преміум-сервісом.
Після звернення фахівців «Доктор Веб» до Google виявлені шкідливі програми були видалені з Google Play. Всі відомі модифікації цього клікера успішно детектуються і видаляються антивірусними продуктами Dr.Web для Android і тому не загрожують нашим користувачам.
Джерело: habr.com