Android Clicker

Infosecin tutkijat löysivät tartunnan saaneita sovelluksia, jotka levittävät napsautushaittaohjelmia Google Play -kaupasta. Kaupasta löydettyjen 16 vioittunutta sovellusta on arvioitu ladatun noin 20 miljoonaa kertaa. Huijausohjelmat sisälsivät uuden mobiiliuhan, joka jäljitettiin nimellä Android/Clicker. Haittaohjelmasta raportin julkaisseet tutkijat ilmoittivat Googlelle, ja sen seurauksena kaikki hyötykuormaa kantavat sovellukset poistettiin Play Kaupasta.

Lukuisat, uhkaavat sovellukset esiteltiin käyttäjille näennäisesti laillisina ohjelmistotuotteina, jotka tarjosivat aidosti hyödyllisiä toimintoja - taskulamput, kamerat, tehtävänhallintalaitteet, QR-lukijat ja yksikkö-/mittausmuuntimet. Kuitenkin, kun sovellus on ladattu ja avattu, se suorittaa HTTP-pyynnön noutaakseen etäkokoonpanonsa. Myöhemmin se rekisteröi Firebase Cloud Messaging (FCM) -kuuntelijan, jolloin se voi vastaanottaa push-viestejä hyökkääjiltä.

Uhkaavat ominaisuudet

Kun Android/Clicker on täysin vakiintunut, se pystyy avaamaan mielivaltaisia verkkosivustoja rikotun laitteen taustalla. Suurin osa käyttäjistä ei edes huomaa, että laitteessa tapahtuu tällaisia toimintoja, koska haittaohjelma aktivoituu vain laitteen ollessa tyhjäkäynnillä eikä käytössä. Se myös odottaisi vähintään tunnin asennuksen jälkeen ennen vilpillisten toimintojen suorittamista. Uhan kaksi pääkomponenttia on analysoitu - kirjasto nimeltä "com.click.cas" vastaa automaattisista napsautuksista, kun taas erilainen "com.liveposting" -kirjasto keskittyy piilotettujen mainosohjelmien suorittamiseen.

Yleensä Android/Clicker-operaattorit voivat ansaita tuloja vilpillisillä napsautuksella sidossivustoilla. Uhkaan vaikuttaneiden laitteiden suorituskyky voi heikentyä ja akun käyttöikä lyhentyä. Riippuen uhrin Internet-suunnitelmasta, haittaohjelma voi myös aiheuttaa ylimääräisiä mobiilidatamaksuja.