Doctor Web 在 Android 應用程式的官方目錄中發現了一個點擊器木馬,該木馬能夠自動為用戶訂閱付費服務。病毒分析人員已經發現了該惡意程式的幾種修改,稱為
首先,他們將答題器內建到無害的應用程式(相機和影像集)中,以執行其預期功能。因此,使用者和資訊安全專業人員沒有明確的理由將它們視為威脅。
其次,所有惡意軟體都受到商業Jiagu打包程式的保護,這使得防毒軟體的檢測變得複雜,並使程式碼分析變得複雜。這樣,木馬就有更好的機會避免 Google Play 目錄內建保護的偵測。
第三,病毒作者試圖將該木馬偽裝成著名的廣告和分析庫。一旦添加到運營商程式中,它就會內建到 Facebook 和 Adjust 的現有 SDK 中,隱藏在它們的組件中。
此外,點擊器選擇性地攻擊使用者:如果潛在受害者不是攻擊者感興趣的國家之一的居民,它不會執行任何惡意操作。
以下是嵌入木馬的應用程式範例:
安裝並啟動答題器後(以下以其修改為例)
如果用戶同意授予他必要的權限,木馬將能夠隱藏有關傳入簡訊的所有通知並攔截訊息文字。
接下來,答題器將有關受感染設備的技術資料傳輸到控制伺服器,並檢查受害者 SIM 卡的序號。如果它與目標國家之一匹配,
如果受害者的 SIM 卡不屬於攻擊者感興趣的國家/地區,則木馬不會採取任何行動並停止其邪惡活動。研究的響片攻擊以下國家居民的修改:
- 奧地利
- 意大利
- 法國
- 泰國
- 馬來西亞
- 德國
- 卡塔爾
- 波蘭
- 希臘
- 愛爾蘭
發送號碼資訊後
收到網站地址後,
儘管答題器不具有使用簡訊和存取訊息的功能,但它繞過了這一限制。事情是這樣的。特洛伊木馬服務監視來自應用程式的通知,預設指定應用程式與 SMS 配合使用。當訊息到達時,服務會隱藏相應的系統通知。然後,它從中提取有關收到的短信的信息並將其傳輸到木馬廣播接收器。因此,用戶看不到任何有關傳入 SMS 的通知,也不知道發生了什麼事。只有當錢開始從他的帳戶中消失,或者當他進入訊息選單並看到與高級服務相關的簡訊時,他才知道如何訂閱該服務。
Doctor Web 專家聯絡 Google 後,偵測到的惡意應用程式已從 Google Play 中刪除。此答題器的所有已知修改均已被 Android 版 Dr.Web 防毒產品成功偵測到並刪除,因此不會對我們的使用者構成威脅。