Android kliker

Raziskovalci Infosec so odkrili okužene aplikacije, ki širijo zlonamerno programsko opremo za klikanje v trgovini Google Play. Ocenjuje se, da je bilo 16 poškodovanih aplikacij, najdenih v trgovini, prenesenih približno 20-milijonkrat. Goljufivi programi so prenašali novo mobilno grožnjo, ki se je spremljala kot Android/Clicker. Raziskovalci, ki so objavili poročilo o zlonamerni programski opremi, so obvestili Google in posledično so bile vse aplikacije, ki prenašajo tovor, odstranjene iz Trgovine Play.

Številne grozeče aplikacije so bile uporabnikom predstavljene kot navidezno legitimni programski izdelki, ki so zagotavljali resnično uporabne funkcije - svetilke, kamere, upravitelje opravil, bralnike QR in pretvornike enot/mer. Ko pa je aplikacija prenesena in odprta, izvede zahtevo HTTP za pridobitev oddaljene konfiguracije. Nato registrira poslušalca Firebase Cloud Messaging (FCM), kar mu omogoča prejemanje potisnih sporočil od napadalcev.

Nevarne zmogljivosti

Ko je v celoti vzpostavljen, lahko Android/Clicker odpre poljubna spletna mesta v ozadju vdorne naprave. Večina uporabnikov sploh ne bi opazila, da se na napravi dogajajo takšne aktivnosti, saj bi se zlonamerna programska oprema aktivirala samo, ko je naprava v mirovanju in ne v uporabi. Prav tako bi počakal vsaj eno uro po namestitvi, preden bi zagnal goljufive dejavnosti. Analizirani sta bili dve glavni komponenti grožnje – knjižnica z imenom 'com.click.cas' bo odgovorna za avtomatizirane klike, medtem ko se druga knjižnica z imenom 'com.liveposting' osredotoča na izvajanje skritih dejavnosti oglaševalske programske opreme.

Na splošno bi lahko operaterji Android/Clicker zaslužili z goljufivimi kliki na povezanih spletnih mestih. Naprave, na katere vpliva grožnja, bi lahko imele zmanjšano zmogljivost in krajšo življenjsko dobo baterije. Odvisno od internetnega načrta žrtve lahko zlonamerna programska oprema povzroči tudi dodatne stroške prenosa mobilnih podatkov.