پرو ہوسٹر > بلاگ > انتظامیہ > اینڈرائیڈ کلکر صارفین کو بامعاوضہ خدمات کے لیے سائن اپ کرتا ہے۔

اینڈرائیڈ کلکر صارفین کو بامعاوضہ خدمات کے لیے سائن اپ کرتا ہے۔

ڈاکٹر ویب نے اینڈرائیڈ ایپلی کیشنز کے آفیشل کیٹلاگ میں ایک کلکر ٹروجن دریافت کیا ہے جو صارفین کو خود بخود ادائیگی کی خدمات کے لیے سبسکرائب کرنے کے قابل ہے۔ وائرس کے تجزیہ کاروں نے اس بدنیتی پر مبنی پروگرام کی کئی ترمیموں کی نشاندہی کی ہے، جسے کہا جاتا ہے۔ Android.Click.322.origin, Android.Click.323.origin и Android.Click.324.origin. اپنے حقیقی مقصد کو چھپانے اور ٹروجن کے پتہ لگانے کے امکانات کو کم کرنے کے لیے حملہ آوروں نے کئی تکنیکوں کا استعمال کیا۔

اول، انہوں نے کلکرز کو بے ضرر ایپلی کیشنز—کیمروں اور تصویری مجموعوں میں بنایا—جو ان کے مطلوبہ کام انجام دیتے ہیں۔ نتیجتاً، صارفین اور انفارمیشن سیکیورٹی کے پیشہ ور افراد کے لیے انہیں خطرے کے طور پر دیکھنے کی کوئی واضح وجہ نہیں تھی۔

دوم، تمام مالویئر تجارتی جیاگو پیکیجر کے ذریعہ محفوظ کیے گئے تھے، جو اینٹی وائرس کے ذریعہ پتہ لگانے کو پیچیدہ بناتا ہے اور کوڈ کے تجزیہ کو پیچیدہ بناتا ہے۔ اس طرح، ٹروجن کے پاس گوگل پلے ڈائرکٹری کے بلٹ ان تحفظ سے پتہ لگانے سے بچنے کا ایک بہتر موقع تھا۔

سوموائرس کے مصنفین نے ٹروجن کو معروف اشتہاری اور تجزیاتی لائبریریوں کے طور پر چھپانے کی کوشش کی۔ کیریئر پروگراموں میں شامل ہونے کے بعد، یہ Facebook اور Adjust سے موجودہ SDKs میں بنایا گیا تھا، ان کے اجزاء کے درمیان چھپا ہوا تھا۔

اس کے علاوہ، کلک کرنے والے نے منتخب طور پر صارفین پر حملہ کیا: اگر ممکنہ شکار حملہ آوروں کی دلچسپی والے ممالک میں سے کسی ایک کا رہائشی نہیں ہے تو اس نے کوئی بدنیتی پر مبنی کارروائی نہیں کی۔

ذیل میں ان ایپلی کیشنز کی مثالیں ہیں جن میں ایک ٹروجن سرایت شدہ ہے:

اینڈرائیڈ کلکر صارفین کو بامعاوضہ خدمات کے لیے سائن اپ کرتا ہے۔

اینڈرائیڈ کلکر صارفین کو بامعاوضہ خدمات کے لیے سائن اپ کرتا ہے۔

کلکر کو انسٹال اور لانچ کرنے کے بعد (اس کے بعد اس کی ترمیم کو بطور مثال استعمال کیا جائے گا۔ Android.Click.322.origin) درج ذیل درخواست دکھا کر آپریٹنگ سسٹم کی اطلاعات تک رسائی حاصل کرنے کی کوشش کرتا ہے۔

اینڈرائیڈ کلکر صارفین کو بامعاوضہ خدمات کے لیے سائن اپ کرتا ہے۔ اینڈرائیڈ کلکر صارفین کو بامعاوضہ خدمات کے لیے سائن اپ کرتا ہے۔

اگر صارف اسے ضروری اجازتیں دینے پر راضی ہو جائے تو ٹروجن آنے والے SMS کے بارے میں تمام اطلاعات کو چھپا سکے گا اور پیغام کے متن کو روک سکے گا۔

اس کے بعد، کلک کرنے والا متاثرہ ڈیوائس کے بارے میں تکنیکی ڈیٹا کو کنٹرول سرور پر منتقل کرتا ہے اور متاثرہ کے سم کارڈ کا سیریل نمبر چیک کرتا ہے۔ اگر یہ ہدف والے ممالک میں سے ایک سے میل کھاتا ہے، Android.Click.322.origin اس سے وابستہ فون نمبر کے بارے میں سرور کو معلومات بھیجتا ہے۔ اسی وقت، کلک کرنے والا مخصوص ممالک کے صارفین کو ایک فشنگ ونڈو دکھاتا ہے جہاں وہ ان سے نمبر درج کرنے یا اپنے گوگل اکاؤنٹ میں لاگ ان کرنے کو کہتے ہیں:

اینڈرائیڈ کلکر صارفین کو بامعاوضہ خدمات کے لیے سائن اپ کرتا ہے۔

اگر متاثرہ کا سم کارڈ حملہ آوروں کی دلچسپی کے ملک سے تعلق نہیں رکھتا ہے، تو ٹروجن کوئی کارروائی نہیں کرتا اور اپنی بدنیتی پر مبنی سرگرمی کو روکتا ہے۔ درج ذیل ممالک کے باشندوں پر کلک کرنے والے حملہ آور کی تحقیق شدہ ترمیم:

  • آسٹریا
  • اٹلی
  • فرانس
  • تھائی لینڈ
  • Малайзия
  • جرمنی
  • Катар
  • Польша
  • یونان
  • آئر لینڈ

نمبر کی معلومات منتقل کرنے کے بعد Android.Click.322.origin مینجمنٹ سرور سے حکموں کا انتظار کر رہا ہے۔ یہ ٹاسکس ٹروجن کو بھیجتا ہے، جس میں جاوا اسکرپٹ فارمیٹ میں ڈاؤن لوڈ کرنے کے لیے ویب سائٹس کے پتے اور کوڈ ہوتے ہیں۔ یہ کوڈ JavascriptInterface کے ذریعے کلک کرنے والے کو کنٹرول کرنے، ڈیوائس پر پاپ اپ پیغامات ڈسپلے کرنے، ویب صفحات پر کلک کرنے اور دیگر کارروائیوں کے لیے استعمال کیا جاتا ہے۔

سائٹ کا پتہ موصول ہونے کے بعد، Android.Click.322.origin اسے ایک پوشیدہ WebView میں کھولتا ہے، جہاں کلکس کے پیرامیٹرز کے ساتھ پہلے سے قبول کردہ JavaScript کو بھی لوڈ کیا جاتا ہے۔ پریمیم سروس کے ساتھ ویب سائٹ کھولنے کے بعد، ٹروجن خود بخود ضروری لنکس اور بٹنوں پر کلک کرتا ہے۔ اس کے بعد، وہ ایس ایم ایس سے تصدیقی کوڈ وصول کرتا ہے اور آزادانہ طور پر سبسکرپشن کی تصدیق کرتا ہے۔

اس حقیقت کے باوجود کہ کلک کرنے والے کے پاس SMS کے ساتھ کام کرنے اور پیغامات تک رسائی کا کام نہیں ہے، یہ اس حد کو نظرانداز کرتا ہے۔ یہ اس طرح جاتا ہے۔ ٹروجن سروس ایپلیکیشن سے اطلاعات کی نگرانی کرتی ہے، جو بطور ڈیفالٹ SMS کے ساتھ کام کرنے کے لیے تفویض کی جاتی ہے۔ جب کوئی پیغام آتا ہے، سروس متعلقہ سسٹم کی اطلاع کو چھپا دیتی ہے۔ اس کے بعد اس سے موصول ہونے والے ایس ایم ایس کے بارے میں معلومات نکالتا ہے اور اسے ٹروجن براڈکاسٹ ریسیور تک پہنچاتا ہے۔ نتیجے کے طور پر، صارف کو آنے والے ایس ایم ایس کے بارے میں کوئی اطلاع نظر نہیں آتی ہے اور وہ اس سے آگاہ نہیں ہوتا ہے کہ کیا ہو رہا ہے۔ وہ سروس کو سبسکرائب کرنے کے بارے میں تب ہی سیکھتا ہے جب اس کے اکاؤنٹ سے رقم غائب ہونے لگتی ہے، یا جب وہ پیغامات کے مینو میں جاتا ہے اور پریمیم سروس سے متعلق SMS دیکھتا ہے۔

ڈاکٹر ویب کے ماہرین کے گوگل سے رابطہ کرنے کے بعد، پتہ چلنے والی بدنیتی پر مبنی ایپلی کیشنز کو گوگل پلے سے ہٹا دیا گیا۔ اس کلکر کی تمام معلوم ترمیمات کو Dr.Web اینٹی وائرس پروڈکٹس کے ذریعے کامیابی کے ساتھ پتہ چلا اور ہٹا دیا گیا ہے اور اس وجہ سے وہ ہمارے صارفین کے لیے خطرہ نہیں ہیں۔

Android.Click.322.origin کے بارے میں مزید جانیں۔

ماخذ: www.habr.com

نیا تبصرہ شامل کریں