Doctor Web 在 Android 应用程序的官方目录中发现了一个点击器木马,该木马能够自动为用户订阅付费服务。 病毒分析人员已经发现了该恶意程序的几种修改,称为 , и 。 为了隐藏其真实目的并降低检测到特洛伊木马的可能性,攻击者使用了多种技术。
首先,他们将答题器内置到无害的应用程序(相机和图像集合)中,以执行其预期功能。 因此,用户和信息安全专业人员没有明确的理由将它们视为威胁。
其次,所有恶意软件都受到商业Jiagu打包程序的保护,这使防病毒软件的检测变得复杂,并使代码分析变得复杂。 这样,木马就有更好的机会避免 Google Play 目录内置保护的检测。
第三,病毒作者试图将该木马伪装成著名的广告和分析库。 一旦添加到运营商程序中,它就会内置到 Facebook 和 Adjust 的现有 SDK 中,隐藏在它们的组件中。
此外,点击器有选择性地攻击用户:如果潜在受害者不是攻击者感兴趣的国家之一的居民,它不会执行任何恶意操作。
以下是嵌入木马的应用程序示例:
安装并启动答题器后(以下以其修改为例) )尝试通过显示以下请求来访问操作系统通知:
如果用户同意授予他必要的权限,木马将能够隐藏有关传入短信的所有通知并拦截消息文本。
接下来,答题器将有关受感染设备的技术数据传输到控制服务器,并检查受害者 SIM 卡的序列号。 如果它与目标国家之一匹配, 向服务器发送有关与其关联的电话号码的信息。 与此同时,点击器会向某些国家/地区的用户显示一个网络钓鱼窗口,要求他们输入数字或登录其 Google 帐户:
如果受害者的 SIM 卡不属于攻击者感兴趣的国家/地区,则木马不会采取任何行动并停止其恶意活动。 研究的响片攻击以下国家居民的修改:
- 奥地利
- 意大利
- 法国
- 泰国
- 马来西亚
- 德国
- 卡塔尔
- 波兰
- 希腊
- 爱尔兰
发送号码信息后 等待来自管理服务器的命令。 它向木马发送任务,其中包含要下载的网站地址和 JavaScript 格式的代码。 该代码用于通过JavascriptInterface控制点击器、在设备上显示弹出消息、执行网页点击等操作。
收到网站地址后, 在不可见的 WebView 中打开它,其中还加载了先前接受的带有点击参数的 JavaScript。 打开提供高级服务的网站后,木马会自动单击必要的链接和按钮。 接下来,他收到短信验证码并独立确认订阅。
尽管答题器不具有使用短信和访问消息的功能,但它绕过了这一限制。 事情是这样的。 该特洛伊木马服务监视来自应用程序的通知,默认情况下指定该应用程序与 SMS 配合使用。 当消息到达时,服务会隐藏相应的系统通知。 然后,它从中提取有关收到的短信的信息并将其传输到木马广播接收器。 因此,用户看不到任何有关传入短信的通知,也不知道发生了什么。 只有当钱开始从他的帐户中消失,或者当他进入消息菜单并看到与高级服务相关的短信时,他才知道如何订阅该服务。
Doctor Web 专家联系 Google 后,检测到的恶意应用程序已从 Google Play 中删除。 此答题器的所有已知修改均已被 Android 版 Dr.Web 防病毒产品成功检测到并删除,因此不会对我们的用户构成威胁。
来源: habr.com