Doctor Web kompaniyasi Android ilovalarining rasmiy katalogida foydalanuvchilarni avtomatik ravishda pullik xizmatlarga obuna bo‘lish imkoniyatiga ega bo‘lgan kliklovchi troyanni topdi. Virus tahlilchilari ushbu zararli dasturning bir nechta modifikatsiyalarini aniqladilar , и . Asl maqsadlarini yashirish va troyanni aniqlash ehtimolini kamaytirish uchun hujumchilar bir nechta usullardan foydalanganlar.
Birinchidan, ular o'zlarining mo'ljallangan funktsiyalarini bajaradigan zararsiz ilovalarga - kameralar va tasvirlar to'plamlariga bosuvchilarni yaratdilar. Natijada, foydalanuvchilar va axborot xavfsizligi bo'yicha mutaxassislar ularni tahdid sifatida ko'rishlari uchun aniq sabab yo'q edi.
Ikkinchidan, barcha zararli dasturlar tijorat Jiagu paketlovchisi tomonidan himoyalangan, bu antiviruslar tomonidan aniqlashni qiyinlashtiradi va kod tahlilini murakkablashtiradi. Shunday qilib, troyan Google Play katalogining o'rnatilgan himoyasi orqali aniqlanmaslik uchun ko'proq imkoniyatga ega bo'ldi.
Uchinchidan, virus mualliflari troyanni taniqli reklama va tahliliy kutubxonalar sifatida yashirishga harakat qilishdi. Operator dasturlariga qo'shilgandan so'ng, u Facebook va Adjust-dan mavjud SDK-larga o'rnatilgan va ularning tarkibiy qismlari orasida yashiringan.
Bundan tashqari, klik foydalanuvchilarga tanlab hujum qildi: agar potentsial qurbon hujumchilarni qiziqtirgan mamlakatlardan birining rezidenti bo'lmasa, u hech qanday zararli harakatlar qilmadi.
Quyida troyan o'rnatilgan ilovalarga misollar keltirilgan:
Kliklagichni o'rnatgandan va ishga tushirgandan so'ng (bundan keyin uning modifikatsiyasi misol sifatida ishlatiladi ) quyidagi so'rovni ko'rsatib, operatsion tizim bildirishnomalariga kirishga harakat qiladi:
Agar foydalanuvchi unga kerakli ruxsatlarni berishga rozi bo'lsa, troyan kiruvchi SMS haqidagi barcha bildirishnomalarni yashirishi va xabar matnlarini ushlab turishi mumkin bo'ladi.
Keyinchalik, bosuvchi infektsiyalangan qurilma haqidagi texnik ma'lumotlarni nazorat serveriga uzatadi va qurbonning SIM-kartasining seriya raqamini tekshiradi. Agar u maqsadli mamlakatlardan biriga mos kelsa, serverga u bilan bog'langan telefon raqami haqida ma'lumot yuboradi. Shu bilan birga, kliklovchi ma'lum mamlakatlar foydalanuvchilariga raqamni kiritish yoki Google hisobiga kirishni so'raydigan fishing oynasini ko'rsatadi:
Agar jabrlanuvchining SIM-kartasi tajovuzkorlarni qiziqtirgan mamlakatga tegishli bo'lmasa, troyan hech qanday chora ko'rmaydi va o'zining zararli faoliyatini to'xtatadi. Klikerning o'rganilgan modifikatsiyalari quyidagi mamlakatlar aholisiga hujum qiladi:
- Avstriya
- Italiya
- Frantsiya
- Tailand
- Malayziya
- Germaniya
- Qatar
- Polsha
- Gretsiya
- Irlandiya
Raqam ma'lumotlarini uzatgandan so'ng boshqaruv serveridan buyruqlarni kutadi. U JavaScript formatida yuklab olish va kodlash uchun veb-saytlar manzillarini o'z ichiga olgan troyanga vazifalarni yuboradi. Ushbu kod JavascriptInterface orqali bosishni boshqarish, qurilmada qalqib chiquvchi xabarlarni ko'rsatish, veb-sahifalarni bosish va boshqa amallarni bajarish uchun ishlatiladi.
Sayt manzilini olgandan so'ng, uni ko'rinmas WebView-da ochadi, bu erda bosish parametrlari bilan ilgari qabul qilingan JavaScript ham yuklanadi. Premium xizmatga ega veb-sayt ochilgandan so'ng, troyan avtomatik ravishda kerakli havolalar va tugmalarni bosadi. Keyin u SMS-dan tasdiqlash kodlarini oladi va obunani mustaqil ravishda tasdiqlaydi.
Kliklagich SMS bilan ishlash va xabarlarga kirish funksiyasiga ega emasligiga qaramay, u bu cheklovni chetlab o'tadi. Bu shunday ketadi. Troyan xizmati sukut bo'yicha SMS bilan ishlash uchun tayinlangan ilovadan bildirishnomalarni nazorat qiladi. Xabar kelganda, xizmat tegishli tizim bildirishnomasini yashiradi. Keyin undan olingan SMS haqidagi ma'lumotlarni ajratib oladi va uni troyan translyatsiya qabul qiluvchisiga uzatadi. Natijada, foydalanuvchi kiruvchi SMS haqida hech qanday bildirishnomalarni ko'rmaydi va nima bo'layotganidan bexabar. U xizmatga obuna bo'lish haqida faqat uning hisobidan pul yo'qola boshlaganida yoki xabarlar menyusiga o'tib, premium xizmatga oid SMSni ko'rganda bilib oladi.
Doctor Web mutaxassislari Google bilan bog'langandan so'ng, aniqlangan zararli ilovalar Google Play'dan o'chirildi. Ushbu kliklagichning barcha ma'lum modifikatsiyalari Android uchun Dr.Web antivirus mahsulotlari tomonidan muvaffaqiyatli aniqlanadi va o'chiriladi va shuning uchun foydalanuvchilarimiz uchun xavf tug'dirmaydi.
Manba: www.habr.com