Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Android.Click.322.origin

Добавлен в вирусную базу Dr.Web: 2019-10-18

Описание добавлено:

  • SHA1 упакованного троянца: 75df0fb24519d6f2b30f6df990d856e2ce905c73 (детектируется как Android.Click.770)
    SHA1 после распаковки: cf9b1bcb547886f1a00c7b40fd45bc838ce31175
  • SHA1 упакованного троянца: 40627a814ed839689ac28f3a6077aa2cd72b8f8f (детектируется как Android.Click.773)
    SHA1 после распаковки: 941fec51d6fccd7476f524b0c75826bd40dd0ca6

Android-кликер, предназначенный для подписки пользователей на дорогостоящие мобильные услуги. Впервые был обнаружен в каталоге Google Play, где распространялся под видом безобидных программ, таких как сборники изображений для рабочего стола и приложений-фотокамер. Все известные модификации троянца упакованы Jiagu.

После добавления в программы-носители Android.Click.322.origin встраивается в присутствующие в них пакеты известных библиотек, такие как SDK от Facebook и Adjust. Тем самым троянец мимикрирует под них. Примеры сервисов и активностей кликера, зарегистрированных в manifest.xml после внедрения в приложение, показаны ниже.

Имитация SDK Facebook:


  <activity android:name="com.facebook.appevents.FacebookLogin">
  </activity>
  <activity android:name="com.facebook.appevents.FacebookPermission">
  </activity>
  <service android:name="com.facebook.appevents.FacebookEvent" android:permission="android.permission.BIND_NOTIFICATION_LISTENER_SERVICE">
          <intent-filter>
                  <action android:name="android.service.notification.NotificationListenerService">
                  </action>
          </intent-filter>
  </service>
  

Имитация SDK Adjust:


  <activity android:name="com.adjust.sdk.LoginActivity" />
  <activity android:name="com.adjust.sdk.PermissionActivity" />
  <service android:name="com.adjust.sdk.ActivityEvent" android:permission="android.permission.BIND_NOTIFICATION_LISTENER_SERVICE">
        <intent-filter>
          <action android:name="android.service.notification.NotificationListenerService" />
        </intent-filter>
  </service>
  

При запуске Android.Click.322.origin запрашивает доступ к уведомлениям:

#drweb #drweb

Получив разрешение, троянец сможет скрывать от пользователя уведомления о входящих СМС-сообщениях и перехватывать их содержимое.

Android.Click.322.origin отправляет на сервер http://**.***.78.239 следующие данные о зараженном устройстве:

  • appId — идентификатор приложения с троянцем;
  • carrier — название мобильного оператора;
  • condition — тип интернет-соединения;
  • country — страна пользователя согласно настройкам устройства;
  • deviceId — идентификатор устройства;
  • imsi — идентификатор SIM-карты;
  • plmn — идентификатор мобильной сети;
  • requestTime — время отправки запроса;
  • url — тип запроса;
  • version — модель устройства.

Затем троянец проверяет, относится ли SIM-карта потенциальной жертвы к одной из следующих стран:

  • Австрия
  • Италия
  • Франция
  • Таиланд
  • Малайзия
  • Германия
  • Катар
  • Польша
  • Греция
  • Ирландия

Если соответствие найдено, он передает на сервер http://**.***.78.239 информацию о привязанном к SIM-карте номере мобильного телефона. Для этого используется стандартный системный класс TelephonyManager. При этом жителям определенных стран из списка троянец показывает фишинговую активность FacebookLogin, в которой предлагает ввести номер телефона или авторизоваться с использованием учетной записи Google:

#drweb

В первом случае вредоносная программа получает и передает на сервер номер, введенный жертвой самостоятельно. Во втором случае он берется из com.google.android.gms.auth.api.credentials.Credential после авторизации.

Если SIM-карта не связана с целевыми странами, далее троянец не предпринимает никаких действий.

После отправки данных о номере Android.Click.322.origin запрашивает команды у сервера, расположенного по адресу http://***.***.8.243:8998. В ответном сообщении сервера содержится ссылка на веб-сайт, который необходимо загрузить троянцу, а также специальный JavaScript-файл.

Получив задание, троянец создает невидимый элемент View с невидимым WebView в нем. Далее он загружает заданный веб-сайт в этом WebView, после чего сообщает об успешной загрузке на сервер http://**.***.78.239. После загрузки сайта Android.Click.322.origin загружает в WebView полученный ранее скрипт.

Этот скрипт работает через интерфейс JavascriptInterface. Он способен выполнять следующие действия:

  • getop() — получить данные оператора мобильной связи пользователя;
  • test(String str) — показать Toast с заданным текстом;
  • upload(String param1, String param2) — передать заданную информацию на сервер http://**.***.78.239;
  • finish() — удалить View, содержащее WebView, отменить регистрацию BroadcastReceiver, который получает данные об СМС из уведомлений; отправить новый Intent, повторно запускающий процесс получения команды от сервера.

Одновременно с созданием невидимого WebView вредоносная программа инициализирует широковещательный приемник (BroadcastReceiver), который отслеживает намерения (Intent) от троянского сервиса FacebookEvent. Этот сервис контролирует установленное по умолчанию приложение для работы с СМС. Каждый раз при поступлении входящего сообщения сервис скрывает соответствующее системное уведомление и создает Intent с информацией о содержимом полученного сообщения. Затем троянский BroadcastReceiver получает этот Intent и пересылает перехваченный текст СМС на сервер http://**.***.78.239. Таким образом троянец обходит ограничения системы и получает доступ к СМС без необходимых для этого стандартных разрешений.

Android.Click.322.origin самостоятельно нажимает на необходимые элементы на загружаемых сайтах, скрывает СМС с кодами подтверждения и подписывает пользователей на премиум-услуги.

Новость о троянце

Рекомендации по лечению


Android

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке