Clicker na Androida

Badacze Infosec odkryli zainfekowane aplikacje rozpowszechniające złośliwe oprogramowanie typu clicker w sklepie Google Play. Szacuje się, że 16 uszkodzonych aplikacji znalezionych w sklepie zostało pobranych około 20 milionów razy. Oszukańcze programy zawierały nowe zagrożenie mobilne śledzone jako Android/Clicker. Badacze, którzy opublikowali raport o złośliwym oprogramowaniu, powiadomili Google, w wyniku czego wszystkie aplikacje przenoszące ładunek zostały usunięte ze Sklepu Play.

Liczne groźne aplikacje były przedstawiane użytkownikom jako pozornie legalne oprogramowanie, które zapewniało naprawdę przydatne funkcje - latarki, kamery, menedżery zadań, czytniki QR i konwertery jednostek/miar. Jednak po pobraniu i otwarciu aplikacji wykonuje żądanie HTTP, aby pobrać swoją zdalną konfigurację. Następnie rejestruje odbiornik Firebase Cloud Messaging (FCM), dzięki czemu może odbierać wiadomości push od atakujących.

Zdolności grożące

Po pełnym uruchomieniu Android/Clicker jest w stanie otwierać dowolne strony internetowe w tle naruszonego urządzenia. Większość użytkowników nawet nie zauważyłaby, że takie działania mają miejsce na urządzeniu, ponieważ złośliwe oprogramowanie aktywuje się tylko wtedy, gdy urządzenie jest bezczynne i nie jest używane. Odczekałby również co najmniej godzinę po instalacji przed uruchomieniem oszukańczych działań. Przeanalizowano dwa główne komponenty zagrożenia – biblioteka o nazwie „com.click.cas” będzie odpowiedzialna za automatyczne kliknięcia, podczas gdy inna biblioteka o nazwie „com.liveposting” skupia się na uruchamianiu ukrytych działań adware.

Ogólnie rzecz biorąc, operatorzy Androida/Clickera mogą zarabiać na fałszywych kliknięciach w powiązanych witrynach. Urządzenia dotknięte zagrożeniem mogą mieć obniżoną wydajność i skrócony czas pracy baterii. W zależności od planu internetowego ofiary, złośliwe oprogramowanie może również powodować dodatkowe opłaty za transmisję danych mobilnych.