Doctor Web 在 Android 應用程式的官方目錄中發現了一個點擊器木馬,該木馬能夠自動為用戶訂閱付費服務。病毒分析人員已經發現了該惡意程式的幾種修改,稱為 , и 。為了隱藏其真實目的並降低偵測到特洛伊木馬的可能性,攻擊者使用了多種技術。
首先,他們將答題器內建到無害的應用程式(相機和影像集)中,以執行其預期功能。因此,使用者和資訊安全專業人員沒有明確的理由將它們視為威脅。
其次,所有惡意軟體都受到商業Jiagu打包程式的保護,這使得防毒軟體的檢測變得複雜,並使程式碼分析變得複雜。這樣,木馬就有更好的機會避免 Google Play 目錄內建保護的偵測。
第三,病毒作者試圖將該木馬偽裝成著名的廣告和分析庫。一旦添加到運營商程式中,它就會內建到 Facebook 和 Adjust 的現有 SDK 中,隱藏在它們的組件中。
此外,點擊器選擇性地攻擊使用者:如果潛在受害者不是攻擊者感興趣的國家之一的居民,它不會執行任何惡意操作。
以下是嵌入木馬的應用程式範例:
安裝並啟動答題器後(以下以其修改為例) )嘗試透過顯示以下請求來存取作業系統通知:
如果用戶同意授予他必要的權限,木馬將能夠隱藏有關傳入簡訊的所有通知並攔截訊息文字。
接下來,答題器將有關受感染設備的技術資料傳輸到控制伺服器,並檢查受害者 SIM 卡的序號。如果它與目標國家之一匹配, 向伺服器發送有關與其關聯的電話號碼的資訊。同時,點擊器會向某些國家/地區的使用者顯示網路釣魚窗口,要求他們輸入數字或登入其 Google 帳戶:
如果受害者的 SIM 卡不屬於攻擊者感興趣的國家/地區,則木馬不會採取任何行動並停止其邪惡活動。研究的響片攻擊以下國家居民的修改:
- 奧地利
- 意大利
- 法國
- 泰國
- 馬來西亞
- 德國
- 卡塔爾
- 波蘭
- 希臘
- 愛爾蘭
發送號碼資訊後 等待來自管理伺服器的命令。它會向木馬發送任務,其中包含要下載的網站位址和 JavaScript 格式的程式碼。程式碼用於透過JavascriptInterface控制點擊器、在裝置上顯示彈出訊息、執行網頁點擊等操作。
收到網站地址後, 在不可見的 WebView 中開啟它,其中還載入了先前接受的帶有點擊參數的 JavaScript。打開提供高級服務的網站後,木馬會自動點擊必要的連結和按鈕。接下來,他收到簡訊驗證碼並獨立確認訂閱。
儘管答題器不具有使用簡訊和存取訊息的功能,但它繞過了這一限制。事情是這樣的。特洛伊木馬服務監視來自應用程式的通知,預設指定應用程式與 SMS 配合使用。當訊息到達時,服務會隱藏相應的系統通知。然後,它從中提取有關收到的短信的信息並將其傳輸到木馬廣播接收器。因此,用戶看不到任何有關傳入 SMS 的通知,也不知道發生了什麼事。只有當錢開始從他的帳戶中消失,或者當他進入訊息選單並看到與高級服務相關的簡訊時,他才知道如何訂閱該服務。
Doctor Web 專家聯絡 Google 後,偵測到的惡意應用程式已從 Google Play 中刪除。此答題器的所有已知修改均已被 Android 版 Dr.Web 防毒產品成功偵測到並刪除,因此不會對我們的使用者構成威脅。
來源: www.habr.com