Doctor Web telah mendeteksi Trojan clicker dalam katalog resmi aplikasi Android yang dapat secara otomatis berlangganan pengguna ke layanan berbayar. Analis virus telah mengidentifikasi beberapa modifikasi dari program jahat ini, bernama
Android.Click.322.origin ,
Android.Click.323.origin dan
Android.Click.324.origin . Untuk menyembunyikan tujuan sebenarnya, serta mengurangi kemungkinan mendeteksi Trojan, penyerang menggunakan beberapa trik.
Pertama , mereka mengintegrasikan clicker ke dalam aplikasi yang tidak berbahaya - kamera dan koleksi gambar - yang melakukan fungsi yang dideklarasikan. Akibatnya, pengguna dan pakar keamanan informasi tidak memiliki alasan yang jelas untuk menganggap mereka sebagai ancaman.
Kedua , semua malware dilindungi oleh pembungkus komersial Jiagu, yang mempersulit deteksi oleh antivirus dan membuat analisis kode menjadi sulit. Dengan demikian, Trojan lebih cenderung menghindari deteksi oleh perlindungan built-in direktori Google Play.
Ketiga , penulis virus berusaha menyamarkan Trojan sebagai periklanan terkenal dan perpustakaan analitis. Setelah menambahkan ke program host, itu tertanam di Facebook dan Sesuaikan SDK yang ada di dalamnya, bersembunyi di antara komponen mereka.
Selain itu, clicker menyerang pengguna secara selektif: ia tidak melakukan tindakan jahat jika calon korban bukan penduduk salah satu negara yang diminati penyerang.
Berikut ini adalah contoh aplikasi dengan Trojan yang tertanam di dalamnya:
Setelah menginstal dan memulai clicker (selanjutnya, modifikasi
Android.Click.322.origin akan berfungsi sebagai contoh), ia mencoba mengakses notifikasi sistem operasi dengan menunjukkan permintaan berikut:
Jika pengguna setuju untuk memberinya izin yang diperlukan, Trojan akan dapat menyembunyikan semua pemberitahuan tentang SMS yang masuk dan memotong pesan teks.
Selanjutnya, clicker mengirimkan data teknis tentang perangkat yang terinfeksi ke server kontrol dan memeriksa nomor seri kartu SIM korban. Jika cocok dengan salah satu negara target,
Android.Click.322.origin mengirim informasi tentang nomor telepon yang dilampirkan ke server. Pada saat yang sama, untuk pengguna dari negara bagian tertentu, clicker menunjukkan jendela phishing di mana ia menawarkan untuk memasukkan nomor atau masuk ke akun Google-nya:
Jika kartu SIM korban bukan milik negara yang diminati oleh para penyerang, Trojan tidak akan mengambil tindakan apa pun dan menghentikan aktivitas jahat tersebut. Modifikasi clicker yang dipelajari menyerang penghuni negara bagian berikut:
- Austria
- Italia
- Prancis
- Thailand
- Malaysia
- Jerman
- Qatar
- Polandia
- Yunani
- Irlandia
Setelah mengirimkan informasi tentang nomor
Android.Click.322.origin mengharapkan perintah dari server pengelola. Trojan mengirimkan pekerjaan ke Trojan yang berisi alamat situs web untuk mengunduh dan kode JavaScript. Kode ini digunakan untuk mengontrol clicker melalui antarmuka JavascriptInterface, menampilkan pesan pop-up pada perangkat, melakukan klik pada halaman web dan tindakan lainnya.
Setelah menerima alamat situs,
Android.Click.322.origin membukanya di WebView yang tidak terlihat, di mana JavaScript yang sebelumnya diadopsi dengan parameter untuk klik juga dimuat. Setelah membuka situs dengan layanan premium, Trojan secara otomatis mengklik tautan dan tombol yang diperlukan. Kemudian dia menerima kode verifikasi dari SMS dan secara independen mengkonfirmasi berlangganan.
Terlepas dari kenyataan bahwa clicker tidak memiliki fungsi bekerja dengan SMS dan akses ke pesan, ia melewati batasan ini. Ini terjadi sebagai berikut. Layanan Trojan memonitor pemberitahuan dari aplikasi, yang secara default ditugaskan untuk bekerja dengan SMS. Ketika pesan datang, layanan menyembunyikan notifikasi sistem yang sesuai. Kemudian dia mengambil informasi darinya tentang SMS yang diterima dan mengirimkannya ke penerima siaran Trojan. Akibatnya, pengguna tidak melihat pemberitahuan tentang SMS yang masuk dan tidak tahu apa yang terjadi. Dia belajar tentang berlangganan layanan hanya ketika uang mulai menghilang dari akunnya, atau ketika dia pergi ke menu pesan dan melihat SMS yang terkait dengan layanan premium.
Setelah spesialis Web Dokter menghubungi Google, aplikasi jahat yang terdeteksi dihapus dari Google Play. Semua modifikasi clicker ini diketahui berhasil dideteksi dan dihapus oleh produk anti-virus Dr.Web untuk Android dan karenanya tidak menimbulkan ancaman bagi pengguna kami.
Baca lebih lanjut tentang Android.Klik.322.origin