A Clicker Trojan-t tartalmazó Android-alkalmazás, ami több mint 100 millió eszközre van telepítve

A Dr. Web szakértői felfedezték, hogy több mint 100 millió telepítéssel rendelkező Android alkalmazások egy olyan kattintóját tartalmazó trójai, amely Android.Click.312.origin néven szerepel.

A Dr Web víruskereső cég malware kutatói több mint 33 Android-alkalmazást fedeztek fel a Google Play Áruházban, több mint 100 millió telepítéssel, amelyek tartalmazzák a Tojan kattintóját, amelynek neve Android.Click.312.origin.

Az alkalmazások mind funkcionálisak voltak, és tartalmaztak olyan általános alkalmazásokat, mint a szótárak, online térképek, audiolejátszók és vonalkód-leolvasók.

„A trójai egy rosszindulatú modul, amelyet a Dr.Web osztályozása szerint Android.Click.312.origin néven hívnak. Beépítve a szokásos alkalmazásokba – szótárak, online térképek, audiolejátszók, vonalkód-leolvasók és egyéb szoftverek. ”- olvasható a szakértők elemzése. „Ezek a programok működőképesek, és az Android-eszközök tulajdonosai számára ártalmatlannak tűnnek. Ezenkívül az indulásukkor az Android.Click.312.origin mindössze 8 óra után elindítja a rosszindulatú tevékenységeket, hogy ne okozzanak gyanút a felhasználók körében. ”

A felismerés elkerülése érdekében az alkalmazások a telepítéstől számított 8 óra elteltével minden rosszindulatú tevékenységet elkezdenek.

A végrehajtás után az Android.Click.312.origin információt gyűjt a fertőzött rendszerről, és visszajuttatja a C2-hez. A rosszindulatú programok által összegyűjtött adatok tartalmazzák a gyártót és a modellt, az operációs rendszer verzióját, a felhasználó lakóhelyének országát, a rendszer alapértelmezett nyelvét, a felhasználói ügynök azonosítóját, a mobilszolgáltató nevét, az internetkapcsolat típusát, a képernyő opcióit, az időzónát és a a trójai fájdalmas alkalmazás.

A Command & Control szerver viszont elküldi a szükséges beállításokat a rosszindulatú programok számára.

A trójai továbbra is aktív a fertőzött eszközök memóriájában, és lehetővé teszi több rosszindulatú tevékenység végrehajtását, például hirdetési alkalmazásokat a Google Playen, webhelyek letöltését, reklámok vagy egyéb tartalmak megjelenítését, valamint a költséges prémium szolgáltatások előfizetését a felhasználókra.

„A Doctor Web szakemberei nem tudták megteremteni a feltételeket, hogy a trójai ilyen webhelyek letölthetőek legyenek, azonban az Android.Click.312.origin esetében a csaló program lehetséges megvalósítása meglehetősen egyszerű. Mivel a trójai tájékoztatja a menedzsment szervert az aktuális internetes kapcsolat típusáról, ha a kapcsolat létrejön a mobilszolgáltató hálózatán keresztül, a szerver parancsot küldhet a WAP-Click technológiát támogató partnerszolgáltatások egyikének webhelyének megnyitásához. ” folytatja a jelentést. “Ez a technológia egyszerűsíti a különféle prémium szolgáltatások összeköttetését, de gyakran használják fel a felhasználók prémium szolgáltatások illegális előfizetésére.”

Minden alkalommal, amikor a felhasználó új alkalmazást telepít a fertőzött eszközre a Play Áruházon vagy egy APK telepítőn keresztül, a rosszindulatú kód értesíti a C2 szervert, amely viszont válaszol URL-ekkel, hogy megnyisson egy böngészőben, egy láthatatlan WebView-ban vagy a Play-ben. Bolt.
Android.Click.312.origin_1

A kutatók 34 alkalmazást találtak, amelyek több mint 51,7 millió felhasználó által telepített Android.Click.312.origin programot tartalmaztak. A kutatók felfedezték a trójainak az Android.Click.313.origin nevű változatát is, amelyet legalább 50 000 000 ember töltött le. A trójai által veszélyeztetett összes mobiltelefon-tulajdonos száma meghaladta a 101,7 milliót. Az alábbiakban felsoroljuk azokat a programokat, amelyekben ez a kattintó megtalálható:

A vállalat eltávolította a bejelentett alkalmazások közül többet, míg néhányat frissítették, és eltávolították a rosszindulatú modult.

Közösségi megosztás:
%d blogger ezt szereti: