Android Klikker

Infosec-forskere oppdaget infiserte applikasjoner som spredte klikkerskadelig programvare i Google Play-butikken. De 16 korrupte applikasjonene som ble funnet i butikken anslås å ha blitt lastet ned omtrent 20 millioner ganger. De uredelige programmene hadde en ny mobiltrussel sporet som Android/Clicker. Forskerne som ga ut en rapport om skadelig programvare varslet Google, og som et resultat ble alle applikasjonene som hadde nyttelasten fjernet fra Play Store.

De mange, truende applikasjonene ble presentert for brukere som tilsynelatende legitime programvareprodukter som ga genuint nyttige funksjoner - lommelykter, kameraer, oppgavebehandlere, QR-lesere og enhets-/målekonverterere. Men når applikasjonen er lastet ned og åpnet, utfører den en HTTP-forespørsel for å hente den eksterne konfigurasjonen. Etterpå registrerer den en Firebase Cloud Messaging (FCM)-lytter, slik at den kan motta push-meldinger fra angriperne.

Truende evner

Når det er fullt etablert, er Android/Clicker i stand til å åpne vilkårlige nettsteder i bakgrunnen av den brutte enheten. De fleste brukere vil ikke engang legge merke til at slike aktiviteter finner sted på enheten, siden skadelig programvare vil aktivere seg selv bare når enheten er inaktiv og ikke er i bruk. Den ville også vente i minst en time etter installasjonen før den kjørte de uredelige aktivitetene. To hovedkomponenter av trusselen har blitt analysert - et bibliotek kalt 'com.click.cas' vil være ansvarlig for de automatiserte klikkene, mens et annet bibliotek kalt 'com.liveposting' fokuserer på å kjøre skjulte adware-aktiviteter.

Generelt kan operatørene av Android/Clicker tjene penger gjennom falske klikk på tilknyttede nettsteder. Enheter som påvirkes av trusselen kan få redusert ytelse og redusert batterilevetid. Avhengig av internettplanen til offeret, kan skadelig programvare også forårsake ekstra mobildataavgifter.