Android Clicker

Az Infosec kutatói fertőzött alkalmazásokat fedeztek fel, amelyek clicker rosszindulatú programokat terjesztenek a Google Play áruházban. Az áruházban talált 16 sérült alkalmazást a becslések szerint körülbelül 20 millió alkalommal töltötték le. A csaló programok egy új mobilfenyegetést hordoztak, amelyet Android/Clicker néven követtek. A kártevőről jelentést kiadó kutatók értesítették a Google-t, és ennek eredményeként az összes, a rakományt hordozó alkalmazást eltávolították a Play Áruházból.

A számos, fenyegető alkalmazást úgy mutatták be a felhasználóknak, mint látszólag legitim szoftvertermékeket, amelyek valóban hasznos funkciókat – zseblámpákat, kamerákat, feladatkezelőket, QR-olvasókat és mértékegység-/mérés-átalakítókat – biztosítottak. Az alkalmazás letöltése és megnyitása után azonban HTTP-kérést hajt végre a távoli konfiguráció lekéréséhez. Ezt követően regisztrál egy Firebase Cloud Messaging (FCM) figyelőt, amely lehetővé teszi, hogy push üzeneteket fogadjon a támadóktól.

Fenyegető képességek

Ha teljesen létrejött, az Android/Clicker képes tetszőleges webhelyek megnyitására a feltört eszköz hátterében. A legtöbb felhasználó észre sem venné, hogy ilyen tevékenységek zajlanak az eszközön, mivel a kártevő csak akkor aktiválódik, ha az eszköz tétlen és nincs használatban. Ezenkívül legalább egy órát vár a telepítés után, mielőtt végrehajtaná a csaló tevékenységeket. A fenyegetés két fő összetevőjét elemezték – a „com.click.cas” nevű könyvtár lesz felelős az automatizált kattintásokért, míg egy másik „com.liveposting” nevű könyvtár a rejtett reklámprogramok futtatására összpontosít.

Általánosságban elmondható, hogy az Android/Clicker üzemeltetői bevételre tehetnek szert a kapcsolt webhelyeken történő csalárd kattintásokkal. A fenyegetés által érintett eszközök teljesítménye és az akkumulátor élettartama csökkenhet. Az áldozat internettervétől függően a kártevő további mobil adatforgalmi díjakat is okozhat.