Android Clicker

Infoseci teadlased avastasid Google Play poest nakatunud rakendused, mis levitavad klikkeri pahavara. Poest leitud 16 rikutud rakendust on hinnanguliselt alla laaditud ligikaudu 20 miljonit korda. Petturlikud programmid kandsid endas uut mobiiliohtu, mida jälgiti kui Android/Clicker. Teadlased, kes avaldasid aruande pahavara kohta, andsid sellest Google'ile teada ja selle tulemusena eemaldati Play poest kõik kasulikku koormust kandvad rakendused.

Arvukad ähvardavad rakendused esitleti kasutajatele näiliselt legitiimsete tarkvaratoodetena, mis pakkusid tõeliselt kasulikke funktsioone – taskulambid, kaamerad, tegumihaldurid, QR-lugejad ja ühiku-/mõõtemuundurid. Kui rakendus on aga alla laaditud ja avatud, täidab see kaugkonfiguratsiooni toomiseks HTTP-päringu. Seejärel registreerib see Firebase'i pilvsõnumite (FCM) kuulaja, võimaldades sellel ründajatelt tõuketeateid vastu võtta.

Ähvardamise võimed

Kui Android/Clicker on täielikult loodud, on see võimeline avama rikutud seadme taustal suvalisi veebisaite. Enamik kasutajaid ei paneks tähelegi, et sellised tegevused seadmes toimuvad, kuna pahavara aktiveeriks ennast alles siis, kui seade on jõude ja seda ei kasutata. Samuti ootaks see vähemalt tund pärast installimist, enne kui hakkab petturlikke tegevusi käivitama. Analüüsitud on kaht peamist ohu komponenti – teek nimega com.click.cas vastutab automaatsete klikkide eest, samas kui teine teek nimega com.liveposting keskendub peidetud reklaamvaratoimingutele.

Üldiselt võivad Androidi/Cliceri operaatorid teenida tulu seotud veebisaitidel tehtud petturlike klõpsude kaudu. Ohust mõjutatud seadmete jõudlus ja aku tööiga võib väheneda. Olenevalt ohvri internetiplaanist võib pahavara põhjustada ka täiendavaid mobiilse andmeside tasusid.