Android Clicker

Výskumníci spoločnosti Infosec objavili infikované aplikácie šíriace malvér typu clicker v obchode Google Play. Odhaduje sa, že 16 poškodených aplikácií nájdených v obchode bolo stiahnutých približne 20 miliónov krát. Podvodné programy obsahovali novú mobilnú hrozbu sledovanú ako Android/Clicker. Výskumníci, ktorí zverejnili správu o malvéri, upozornili Google a v dôsledku toho boli z Obchodu Play odstránené všetky aplikácie nesúce užitočné zaťaženie.

Početné hrozivé aplikácie boli používateľom prezentované ako zdanlivo legitímne softvérové produkty, ktoré poskytovali skutočne užitočné funkcie - baterky, fotoaparáty, správcovia úloh, čítačky QR a prevodníky jednotiek/meraní. Keď sa však aplikácia stiahne a otvorí, vykoná požiadavku HTTP na získanie vzdialenej konfigurácie. Potom zaregistruje poslucháča Firebase Cloud Messaging (FCM), ktorý mu umožní prijímať push správy od útočníkov.

Ohrozujúce schopnosti

Po úplnom zavedení je Android/Clicker schopný otvárať ľubovoľné webové stránky na pozadí narušeného zariadenia. Väčšina používateľov by si ani nevšimla, že takéto aktivity na zariadení prebiehajú, keďže malvér by sa sám aktivoval len vtedy, keď je zariadenie nečinné a nepoužíva sa. Po inštalácii by tiež čakal najmenej hodinu, kým by sa spustili podvodné aktivity. Analyzovali sa dve hlavné zložky hrozby – knižnica s názvom „com.click.cas“ bude zodpovedná za automatické kliknutia, zatiaľ čo iná knižnica s názvom „com.liveposting“ sa zameriava na spustenie skrytých adwarových aktivít.

Vo všeobecnosti by prevádzkovatelia Android/Clicker mohli zarábať na podvodných kliknutiach na pridružených webových stránkach. Zariadeniam zasiahnutým hrozbou môže dôjsť k zníženiu výkonu a zníženiu životnosti batérie. V závislosti od internetového plánu obete môže malvér spôsobiť ďalšie poplatky za mobilné dáta.