چندین اپلیکشن اندروید که بیش از 100میلیون بار نصب شده اند دارای یک تروجان Clicker بوده اند
محققان تروجان Clicker را در 33 اپلیکشن توزیع شده از طریق فروشگاه Google Play یافتند که حدود 100 میلیون بار توسط کاربران اندرویدی نصب شده بود.
این باج افزار به عنوان یک ماژول مخرب به اپلیکیشن هایی مانند پخش کننده های صوتی، اسکنر بارکد، دیکشنری ها و تعداد زیادی از نرم افزارهای معمولی که اکثر افراد روی دستگاه های اندرویدی خود نصب می کنند، اضافه شده است.
این برنامه ها کاملاً کاربردی بودند همانطور که محققان وب سایت دریافتند و هیچ علامت هشداری را در رابط کاربری خود نشان ندادند ، در حالی که هیچ یک از رفتارهای عجیب و غریب ترین برنامه های مخرب مانند مخفی کردن نماد خود را بعد از نصب یا درخواست راه بیش از حد نمایش نمی دهند. وظایفی که برای انجام آنها طراحی شده است.این اپلیکشن ها همانطور که محققان وب سایت دریافتند کاملاً کاربردی بوده و هیچ علامت هشداری را در رابط کاربری خود نشان ندادند.
تروجان Clicker نوعی باج افزار است که برای فعال ماندن در حافظه دستگاه های آلوده و انجام کارهای کلاهبردارانه در بگ گراند مانند باز کردن صفحات وب بدون اطلاع قربانی طراحی شده است.
عضو شدن قربانیان به سرویس های premium
تروجان Clicker که توسط محققان Android.Click.312.origin نامگذاری شده است فقط 8 ساعت پس از برنامه هایی که در آن راه اندازی شده اند برای جلوگیری از شناسایی اجرا می شوند.
پس از راه اندازی در یکی از دستگاه های Android در معرض خطر، این باج افزار بلافاصله شروع به جمع اوری اطلاعات مربوط به سیستم می کند، مانند:
• نسخه سیستم عامل
• سازنده و مدل دستگاه
• کشور محل سکونت کاربر
• نوع اتصال به اینترنت
• منطقه زمانی کاربر
• و اطلاعات اپلیکیشن مورد استفاده تروجان clicker
تمام این اطلاعات و موارد دیگر در malware's command و سرور C2 بسته بندی و ارسال می شود.
هنگامی که کاربر، برنامه جدیدی را از طریق Play Store یا APK روی دستگاه آلوده نصب کند، این تروجان اطلاعات و داده های فنی دستگاه و برنامه تازه نصب شده را به سرور C2 خود ارسال می کند که URL ها را برای باز کردن در یک مرورگر ، یک WebView غیر قابل دسترس یا در Play Store برمیگرداند.
محققان اذعان داشتند: " بسته به تنظیمات کامند و سرور کنترل و دستورالعمل هایی که ارسال می کند، این تروجان نه تنها می تواند برنامه های تبلیغاتی را در Google Play تبلیغ کند بلکه وب سایت ها به صورت مخفیانه بارگذاری می شوند." به عنوان نمونه، برخی از کاربران درGoogle's Play Store گزارش دادند که پس از نصب اپلیکیشن های حاوی تروجان Android.Click.312.origin به طور خودکار در خدمات سرویس دهنده محتوای گران قیمت عضو شدند.
محققان وب، تروجان Clicker را در برنامه هایی که در جدول زیر ذکر شده، گزارش کرده اند. این شرکت چندین برنامه گزارش شده را حذف کرد، زیرا شرکت سازنده اپلیکیشن آلوده را به روز رسانی کرده و ماژول مخرب را حذف نمودند.
نام پکیج |
SHA1 |
حداقل دانلودها |
com.a13.gpslock |
c0ddd6a164905ef6f65ec06ff088a991c01687e9 |
|
com.a13softdev.qrcodereader |
ea3e521d80730097f2c48dd9f0432749a07b9562 |
1000000 |
com.aitype.android |
66c75e23ab7169475043cdc120206c06b261349d |
10000000 |
com.crics.cricketmazza |
1915eb46bd9ee2fe6748deaa0750cee83f72f8e0 |
1000000 |
com.dictionary.englishurdu |
6c1347786aef5beb0060229c043e5c2ab24f1210 |
5000000 |
com.finance.loan.emicalculator |
b8370356b55b13824eac3f8c0129bc2a00ddaf93 |
1000000 |
com.fitness.stepcounter.pedometer |
100b7a782cf12c0d08b94b3a8425c972f44f2ddc |
100000 |
com.galaxyapps.routefinder |
4328b4c99dac008e6c509ac1521014faa0dadcc3 |
5000000 |
com.guruinfomedia.ebook.pdfviewer |
0a17c18c49c97cdf558a986037b0e4b0c8592442 |
100000 |
com.guruinfomedia.gps.speedometer |
7964ec42624b91280a044024906ce71ec46cc6ea |
1000000 |
com.guruinfomedia.gps.speedometerpro |
eca09c6331129c86e95a64a2f89dce8ad23cfea0 |
50000 |
com.guruinfomedia.notepad.texteditor |
88d1c4d118decd4360e6a8abc186965ccc05fe23 |
1000000 |
com.guruinfomedia.notepad.texteditor.pro |
c5caf490f8627f510553b9336d62fd28382d22d5 |
100000 |
com.impactobtl.friendstrackerfree |
0c7dbdb521efd7354d515e2b24c8f2c61432c4bc |
1000000 |
com.impactobtl.whodeletedme |
8b901532f3247bdafe84e2d315d900bfe3a91bd6 |
500000 |
com.mapsnavigation.gpsroutefinder.locationtrackers |
fbe2ac65d1a9c2894821faaff000ea7ac1147cee |
1000000 |
com.qibla.compass.prayertimes |
034ba8339be985c137108f4064bff4e156817c51 |
100000 |
com.qiblafinder.prayertime.hijricalendar |
ef8a44cabd1ed8ef37c303c8fc16effb6c28fa5c |
1000000 |
com.quranmp3.readquran |
9b4a330a6ebe026db5fd13483c1a0a9de4571c89 |
1000000 |
com.quranmp3ramadan.readquran |
a870ba7293fc5475b499466a90d9a38a539a645c |
500000 |
com.ramdantimes.prayertimes.allah |
b13b296d20f360f8413b49459dc7397799e38763 |
1000000 |
com.ramdantimes.qibla.prayertimes |
e74dec8b5ff7d0fa77f21f21fdb49f0e0f3722c7 |
500000 |
com.sdeteam.gsa |
4e8112e4e3039e4a8d2479e3acae858deae0c3a1 |
1000000 |
com.shikh.gurbaniradio.livekirtan |
1c69c6cc2714496fb50818b1c46be0ca72086fad |
100000 |
com.studyapps.mathen |
9498a03c48b4802d1e529e42d5dc72a7e2da1593 |
500000 |
com.studyapps.obshestvo |
4f2dfe1410b7de8f9301d5c54becfa87d7cdd276 |
100000 |
com.tosi.bombujmanual |
8161f174eb43ee98838410e08757dd6dc348b53f |
500000 |
com.videocutter.mp3converter |
f9a7b22c2a8c07cf1e878dc625ea60e634486333 |
1000000 |
com.vpn.powervpn |
a7dded17f59ad889d949232ee8b5c43d667ca351 |
1000000 |
liveearthcam.livewebcams.livestreetview |
581f505f4a83ad2ff1823dd3477c000788a77829 |
500000 |
qrcode.scanner.qrmaker |
a53bcd4a4313dee7d6fd226867a005b8549c0227 |
5000000 |
remove.unwanted.object |
22f2690b89e8c1ea0172ced211d3d57f07118bcb |
10000000 |
com.ixigo.train.ixitrain |
700819680439ce23945f25a20f1be97a1ff7d074 |
50000000 |
محققان اطلاعات مفصلی درباره اطلاعاتی كه تروجان Clicker به سرورهای C2 خود ارسال می كند و نیز دستورات و تنظیماتی كه از عملگرهای خود دریافت می كند، ارائه می دهند.
منبع : www.bleepingcomputer.com
