- PVSM.RU - https://www.pvsm.ru -

Android-кликер подписывает пользователей на платные услуги

Компания «Доктор Веб» обнаружила в официальном каталоге Android-приложений троянца-кликера, который способен автоматически подписывать пользователей на платные сервисы. Вирусные аналитики выявили несколько модификаций этой вредоносной программы, получившие имена Android.Click.322.origin [1], Android.Click.323.origin [2] и Android.Click.324.origin [3]. Чтобы скрыть их истинное предназначение, а также снизить вероятность обнаружения троянца, злоумышленники использовали несколько приемов.

Во-первых, они встроили кликера в безобидные приложения — фотокамеры и сборники изображений, — которые выполняли заявленные функции. В результате у пользователей и специалистов по информационной безопасности не было явных причин рассматривать их как угрозу.

Во-вторых, все вредоносные программы были защищены коммерческим упаковщиком Jiagu, который усложняет детектирование антивирусами и затрудняет анализ кода. Таким образом у троянца было больше шансов избежать обнаружения встроенной защитой каталога Google Play.

В-третьих, вирусописатели пытались замаскировать троянца под известные рекламно-аналитические библиотеки. После добавления в программы-носители он встраивался в присутствовавшие в них SDK от Facebook и Adjust, скрываясь среди их компонентов.

Кроме того, кликер атаковал пользователей избирательно: он не выполнял никаких вредоносных действий, если потенциальная жертва не являлась жителем одной из интересующих злоумышленников стран.

Ниже приведены примеры приложений с внедренным в них троянцем:

image

image

После установки и запуска кликер (здесь и далее в качестве примера будет выступать его модификация Android.Click.322.origin [1]) пытается получить доступ к уведомлениям операционной системы, показывая следующий запрос:

image image

Если пользователь согласится предоставить ему необходимые разрешения, троянец сможет скрывать все уведомления о входящих СМС и перехватывать тексты сообщений.

Далее кликер передает на управляющий сервер технические данные о зараженном устройстве и проверяет серийный номер SIM-карты жертвы. Если та соответствует одной из целевых стран, Android.Click.322.origin [1] отправляет на сервер информацию о привязанном к ней номере телефона. При этом пользователям из определенных государств кликер показывает фишинговое окно, где предлагает самостоятельно ввести номер или авторизоваться в учетной записи Google:

image

Если же SIM-карта жертвы не относится к интересующей злоумышленников стране, троянец не предпринимает никаких действий и прекращает вредоносную деятельность. Исследованные модификации кликера атакуют жителей следующих государств:

  • Австрия
  • Италия
  • Франция
  • Таиланд
  • Малайзия
  • Германия
  • Катар
  • Польша
  • Греция
  • Ирландия

После передачи информации о номере Android.Click.322.origin [1] ожидает команды от управляющего сервера. Тот отправляет троянцу задания, в которых содержатся адреса веб-сайтов для загрузки и код в формате JavaScript. Этот код используется для управления кликером через интерфейс JavascriptInterface, показа всплывающих сообщений на устройстве, выполнения нажатий на веб-страницах и других действий.

Получив адрес сайта, Android.Click.322.origin [1] открывает его в невидимом WebView, куда также загружается принятый ранее JavaScript с параметрами для кликов. После открытия сайта с сервисом премиум-услуг троянец автоматически нажимает на необходимые ссылки и кнопки. Далее он получает проверочные коды из СМС и самостоятельно подтверждает подписку.

Несмотря на то, что у кликера нет функции работы с СМС и доступа к сообщениям, он обходит это ограничение. Это происходит следующим образом. Троянский сервис следит за уведомлениями от приложения, которое по умолчанию назначено на работу с СМС. При поступлении сообщения сервис скрывает соответствующее системное уведомление. Затем он извлекает из него информацию о полученном СМС и передает ее троянскому широковещательному приемнику. В результате пользователь не видит никаких уведомлений о входящих СМС и не знает о происходящем. О подписке на услугу он узнает только тогда, когда с его счета начнут пропадать деньги, либо когда он зайдет в меню сообщений и увидит СМС, связанные с премиум-сервисом.

После обращения специалистов «Доктор Веб» в корпорацию Google обнаруженные вредоносные приложения были удалены из Google Play. Все известные модификации этого кликера успешно детектируются и удаляются антивирусными продуктами Dr.Web для Android и потому не представляют угрозу для наших пользователей.

Подробнее об Android.Click.322.origin [4]

Автор: doctorweb

Источник [5]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/dr-web/333757

Ссылки в тексте:

[1] Android.Click.322.origin: https://vms.drweb.ru/search/?q=Android.Click.322.origin&lng=ru

[2] Android.Click.323.origin: https://vms.drweb.ru/search/?q=Android.Click.323.origin&lng=ru

[3] Android.Click.324.origin: https://vms.drweb.ru/search/?q=Android.Click.324.origin&lng=ru

[4] Подробнее об Android.Click.322.origin: https://vms.drweb.ru/virus/?i=18484734&lng=ru

[5] Источник: https://habr.com/ru/post/472096/?utm_campaign=472096&utm_source=habrahabr&utm_medium=rss