Doctor Web đã phát hiện ra một Trojan clicker trong danh mục ứng dụng Android chính thức có khả năng tự động đăng ký người dùng các dịch vụ trả phí. Các nhà phân tích virus đã xác định được một số sửa đổi của chương trình độc hại này, được gọi là , и . Để che giấu mục đích thực sự của mình và cũng làm giảm khả năng bị phát hiện Trojan, những kẻ tấn công đã sử dụng một số kỹ thuật.
Thứ nhất, họ đã xây dựng các trình nhấp chuột thành các ứng dụng vô hại—máy ảnh và bộ sưu tập hình ảnh—thực hiện các chức năng dự định của họ. Kết quả là không có lý do rõ ràng nào để người dùng và các chuyên gia bảo mật thông tin coi chúng là mối đe dọa.
thứ hai, tất cả phần mềm độc hại đều được bảo vệ bởi trình đóng gói thương mại Jiagu, điều này làm phức tạp việc phát hiện của phần mềm chống vi-rút và làm phức tạp việc phân tích mã. Bằng cách này, Trojan có cơ hội tốt hơn để tránh bị phát hiện nhờ tính năng bảo vệ tích hợp của thư mục Google Play.
Thứ xấu, những kẻ viết virus đã cố gắng ngụy trang Trojan thành các thư viện phân tích và quảng cáo nổi tiếng. Sau khi được thêm vào các chương trình của nhà cung cấp dịch vụ, nó sẽ được tích hợp vào SDK hiện có của Facebook và Điều chỉnh, ẩn trong các thành phần của chúng.
Ngoài ra, clicker còn tấn công người dùng một cách có chọn lọc: nó không thực hiện bất kỳ hành động độc hại nào nếu nạn nhân tiềm năng không phải là cư dân của một trong những quốc gia mà những kẻ tấn công quan tâm.
Dưới đây là ví dụ về các ứng dụng có chứa Trojan:
Sau khi cài đặt và khởi chạy clicker (sau đây, sửa đổi của nó sẽ được sử dụng làm ví dụ ) cố gắng truy cập thông báo của hệ điều hành bằng cách hiển thị yêu cầu sau:
Nếu người dùng đồng ý cấp cho anh ta các quyền cần thiết, Trojan sẽ có thể ẩn tất cả thông báo về tin nhắn SMS đến và chặn tin nhắn văn bản.
Tiếp theo, clicker truyền dữ liệu kỹ thuật về thiết bị bị nhiễm đến máy chủ điều khiển và kiểm tra số sê-ri thẻ SIM của nạn nhân. Nếu nó phù hợp với một trong những quốc gia mục tiêu, gửi đến máy chủ thông tin về số điện thoại được liên kết với nó. Đồng thời, trình nhấp chuột hiển thị cho người dùng từ một số quốc gia nhất định một cửa sổ lừa đảo nơi họ yêu cầu họ nhập số hoặc đăng nhập vào tài khoản Google của họ:
Nếu thẻ SIM của nạn nhân không thuộc quốc gia mà kẻ tấn công quan tâm, Trojan sẽ không thực hiện hành động nào và dừng hoạt động độc hại của nó. Các sửa đổi được nghiên cứu của clicker tấn công cư dân của các quốc gia sau:
- Áo
- Ý
- Pháp
- Thái Lan
- Malaysia
- Đức
- Qatar
- Ba Lan
- Hy Lạp
- Ireland
Sau khi truyền thông tin số chờ lệnh từ máy chủ quản lý. Nó gửi các tác vụ tới Trojan, chứa địa chỉ của các trang web cần tải xuống và mã hóa ở định dạng JavaScript. Mã này được sử dụng để điều khiển trình nhấp chuột thông qua JavascriptInterface, hiển thị thông báo bật lên trên thiết bị, thực hiện nhấp chuột trên trang web và các hành động khác.
Sau khi nhận được địa chỉ trang web, mở nó trong một WebView vô hình, nơi JavaScript được chấp nhận trước đó cùng với các tham số cho số lần nhấp chuột cũng được tải. Sau khi mở một trang web có dịch vụ cao cấp, Trojan sẽ tự động nhấp vào các liên kết và nút cần thiết. Tiếp theo, anh ta nhận được mã xác minh từ SMS và xác nhận đăng ký một cách độc lập.
Mặc dù thực tế là clicker không có chức năng làm việc với SMS và truy cập tin nhắn nhưng nó vẫn vượt qua được hạn chế này. Nó diễn ra như thế này. Dịch vụ Trojan giám sát các thông báo từ ứng dụng, theo mặc định được chỉ định hoạt động với SMS. Khi có tin nhắn đến, dịch vụ sẽ ẩn thông báo hệ thống tương ứng. Sau đó, nó trích xuất thông tin về tin nhắn SMS nhận được từ nó và truyền nó đến bộ thu phát sóng Trojan. Kết quả là người dùng không thấy bất kỳ thông báo nào về tin nhắn SMS đến và không biết chuyện gì đang xảy ra. Anh ấy chỉ biết về việc đăng ký dịch vụ khi tiền bắt đầu biến mất khỏi tài khoản của anh ấy hoặc khi anh ấy vào menu tin nhắn và thấy SMS liên quan đến dịch vụ cao cấp.
Sau khi các chuyên gia của Doctor Web liên hệ với Google, các ứng dụng độc hại được phát hiện đã bị xóa khỏi Google Play. Tất cả các sửa đổi đã biết của clicker này đều được các sản phẩm chống vi-rút Dr.Web dành cho Android phát hiện và xóa thành công và do đó không gây ra mối đe dọa cho người dùng của chúng tôi.
Nguồn: www.habr.com