Android Clicker

Infosec pētnieki Google Play veikalā atklāja inficētas lietojumprogrammas, kas izplata klikšķu ļaunprātīgu programmatūru. Tiek lēsts, ka veikalā atrastās 16 bojātās lietojumprogrammas ir lejupielādētas aptuveni 20 miljonus reižu. Krāpnieciskajās programmās bija jauns mobilais apdraudējums, kas izsekots kā Android/Clicker. Pētnieki, kuri publicēja ziņojumu par ļaunprātīgu programmatūru, paziņoja par to Google, un rezultātā visas lietojumprogrammas, kas pārvadāja lietderīgo slodzi, tika noņemtas no Play veikala.

Daudzās, draudošās lietojumprogrammas lietotājiem tika prezentētas kā šķietami likumīgi programmatūras produkti, kas nodrošināja patiesi noderīgas funkcijas — lukturīšus, kameras, uzdevumu pārvaldniekus, QR lasītājus un mērvienību/mērījumu pārveidotājus. Tomēr, tiklīdz lietojumprogramma ir lejupielādēta un atvērta, tā izpilda HTTP pieprasījumu, lai iegūtu attālo konfigurāciju. Pēc tam tas reģistrē Firebase mākoņa ziņojumapmaiņas (FCM) klausītāju, ļaujot tam saņemt push ziņojumus no uzbrucējiem.

Apdraudošas spējas

Kad tas ir pilnībā izveidots, Android/Clicker var atvērt patvaļīgas vietnes bojātās ierīces fonā. Lielākā daļa lietotāju pat nepamanītu, ka ierīcē notiek šādas darbības, jo ļaunprogrammatūra pati aktivizētos tikai tad, kad ierīce ir dīkstāvē un netiek lietota. Pirms krāpniecisku darbību veikšanas tas arī nogaida vismaz stundu pēc instalēšanas. Ir analizētas divas galvenās apdraudējuma sastāvdaļas — bibliotēka ar nosaukumu "com.click.cas" būs atbildīga par automatizētajiem klikšķiem, savukārt cita bibliotēka ar nosaukumu "com.liveposting" koncentrējas uz slēptu reklāmprogrammatūras darbību veikšanu.

Kopumā Android/Clicker operatori varētu gūt ienākumus, veicot krāpnieciskus klikšķus saistītajās vietnēs. Apdraudējuma skartajām ierīcēm var pasliktināties veiktspēja un samazināts akumulatora darbības laiks. Atkarībā no upura interneta plāna ļaunprogrammatūra var izraisīt arī papildu mobilo datu maksu.