Doctor Web kompaniyasi Android ilovalarining rasmiy katalogida foydalanuvchilarni avtomatik ravishda pullik xizmatlarga obuna bo‘lish imkoniyatiga ega bo‘lgan kliklovchi troyanni topdi. Virus tahlilchilari ushbu zararli dasturning bir nechta modifikatsiyalarini aniqladilar
Birinchidan, ular o'zlarining mo'ljallangan funktsiyalarini bajaradigan zararsiz ilovalarga - kameralar va tasvirlar to'plamlariga bosuvchilarni yaratdilar. Natijada, foydalanuvchilar va axborot xavfsizligi bo'yicha mutaxassislar ularni tahdid sifatida ko'rishlari uchun aniq sabab yo'q edi.
Ikkinchidan, barcha zararli dasturlar tijorat Jiagu paketlovchisi tomonidan himoyalangan, bu antiviruslar tomonidan aniqlashni qiyinlashtiradi va kod tahlilini murakkablashtiradi. Shunday qilib, troyan Google Play katalogining o'rnatilgan himoyasi orqali aniqlanmaslik uchun ko'proq imkoniyatga ega bo'ldi.
Uchinchidan, virus mualliflari troyanni taniqli reklama va tahliliy kutubxonalar sifatida yashirishga harakat qilishdi. Operator dasturlariga qo'shilgandan so'ng, u Facebook va Adjust-dan mavjud SDK-larga o'rnatilgan va ularning tarkibiy qismlari orasida yashiringan.
Bundan tashqari, klik foydalanuvchilarga tanlab hujum qildi: agar potentsial qurbon hujumchilarni qiziqtirgan mamlakatlardan birining rezidenti bo'lmasa, u hech qanday zararli harakatlar qilmadi.
Quyida troyan o'rnatilgan ilovalarga misollar keltirilgan:
Kliklagichni o'rnatgandan va ishga tushirgandan so'ng (bundan keyin uning modifikatsiyasi misol sifatida ishlatiladi
Agar foydalanuvchi unga kerakli ruxsatlarni berishga rozi bo'lsa, troyan kiruvchi SMS haqidagi barcha bildirishnomalarni yashirishi va xabar matnlarini ushlab turishi mumkin bo'ladi.
Keyinchalik, bosuvchi infektsiyalangan qurilma haqidagi texnik ma'lumotlarni nazorat serveriga uzatadi va qurbonning SIM-kartasining seriya raqamini tekshiradi. Agar u maqsadli mamlakatlardan biriga mos kelsa,
Agar jabrlanuvchining SIM-kartasi tajovuzkorlarni qiziqtirgan mamlakatga tegishli bo'lmasa, troyan hech qanday chora ko'rmaydi va o'zining zararli faoliyatini to'xtatadi. Klikerning o'rganilgan modifikatsiyalari quyidagi mamlakatlar aholisiga hujum qiladi:
- Avstriya
- Italiya
- Frantsiya
- Tailand
- Malayziya
- Germaniya
- Qatar
- Polsha
- Gretsiya
- Irlandiya
Raqam ma'lumotlarini uzatgandan so'ng
Sayt manzilini olgandan so'ng,
Kliklagich SMS bilan ishlash va xabarlarga kirish funksiyasiga ega emasligiga qaramay, u bu cheklovni chetlab o'tadi. Bu shunday ketadi. Troyan xizmati sukut bo'yicha SMS bilan ishlash uchun tayinlangan ilovadan bildirishnomalarni nazorat qiladi. Xabar kelganda, xizmat tegishli tizim bildirishnomasini yashiradi. Keyin undan olingan SMS haqidagi ma'lumotlarni ajratib oladi va uni troyan translyatsiya qabul qiluvchisiga uzatadi. Natijada, foydalanuvchi kiruvchi SMS haqida hech qanday bildirishnomalarni ko'rmaydi va nima bo'layotganidan bexabar. U xizmatga obuna bo'lish haqida faqat uning hisobidan pul yo'qola boshlaganida yoki xabarlar menyusiga o'tib, premium xizmatga oid SMSni ko'rganda bilib oladi.
Doctor Web mutaxassislari Google bilan bog'langandan so'ng, aniqlangan zararli ilovalar Google Play'dan o'chirildi. Ushbu kliklagichning barcha ma'lum modifikatsiyalari Android uchun Dr.Web antivirus mahsulotlari tomonidan muvaffaqiyatli aniqlanadi va o'chiriladi va shuning uchun foydalanuvchilarimiz uchun xavf tug'dirmaydi.
Manba: www.habr.com