Doctor Web 在 Android 应用程序的官方目录中发现了一个点击器木马,该木马能够自动为用户订阅付费服务。 病毒分析人员已经发现了该恶意程序的几种修改,称为
首先,他们将答题器内置到无害的应用程序(相机和图像集合)中,以执行其预期功能。 因此,用户和信息安全专业人员没有明确的理由将它们视为威胁。
其次,所有恶意软件都受到商业Jiagu打包程序的保护,这使防病毒软件的检测变得复杂,并使代码分析变得复杂。 这样,木马就有更好的机会避免 Google Play 目录内置保护的检测。
第三,病毒作者试图将该木马伪装成著名的广告和分析库。 一旦添加到运营商程序中,它就会内置到 Facebook 和 Adjust 的现有 SDK 中,隐藏在它们的组件中。
此外,点击器有选择性地攻击用户:如果潜在受害者不是攻击者感兴趣的国家之一的居民,它不会执行任何恶意操作。
以下是嵌入木马的应用程序示例:
安装并启动答题器后(以下以其修改为例)
如果用户同意授予他必要的权限,木马将能够隐藏有关传入短信的所有通知并拦截消息文本。
接下来,答题器将有关受感染设备的技术数据传输到控制服务器,并检查受害者 SIM 卡的序列号。 如果它与目标国家之一匹配,
如果受害者的 SIM 卡不属于攻击者感兴趣的国家/地区,则木马不会采取任何行动并停止其恶意活动。 研究的响片攻击以下国家居民的修改:
- 奥地利
- 意大利
- 法国
- 泰国
- 马来西亚
- 德国
- 卡塔尔
- 波兰
- 希腊
- 爱尔兰
发送号码信息后
收到网站地址后,
尽管答题器不具有使用短信和访问消息的功能,但它绕过了这一限制。 事情是这样的。 该特洛伊木马服务监视来自应用程序的通知,默认情况下指定该应用程序与 SMS 配合使用。 当消息到达时,服务会隐藏相应的系统通知。 然后,它从中提取有关收到的短信的信息并将其传输到木马广播接收器。 因此,用户看不到任何有关传入短信的通知,也不知道发生了什么。 只有当钱开始从他的帐户中消失,或者当他进入消息菜单并看到与高级服务相关的短信时,他才知道如何订阅该服务。
Doctor Web 专家联系 Google 后,检测到的恶意应用程序已从 Google Play 中删除。 此答题器的所有已知修改均已被 Android 版 Dr.Web 防病毒产品成功检测到并删除,因此不会对我们的用户构成威胁。