«Կասպերսկի»-ն Google Play-ում հայտնաբերել է բաժանորդագրող տրոյացիների նոր ընտանիք
«Կասպերսկի» ընկերությունը Google Play-ում հայտնաբերել է բաժանորդագրող տրոյացիների նոր Fleckpe ընտանիքը, որը տարածվում է լուսանկարների խմբագրիչների, հեռախոսի համար պաստառներով հավելվածների և այլնի կազմում:
Ընկերության փորձագետների տվյալներով՝ տրոյացին ակտիվ է 2022-ի սկզբից։ Նրանք Google Play-ում գտել են այդ վնասաբեր ծրագրով վարակված 11 հավելված, որոնք տեղադրել են ավելի քան 620 հազար սարքերի օգտատերեր։ Մայիսի սկզբից այդ հավելվածները Google Play-ում այլևս չկան, սակայն փորձագետները նախազգուշացնում են, որ չարագործները կարող էին տեղադրել այլ, դեռևս չհայտնաբերված հավելվածներ, ուստի տրոյացու տեղադրումների իրական թիվը կարող է շատ ավելի մեծ լինել:
«Ծրագիրը գործարկելիս բեռնվում է խիստ օբֆուսկացված նատիվ շտեմարան, որտեղ գտնվող վնասաբեր դրոպերը վերծանում և գործարկում է օգտակար բեռնվածքը հավելվածի ռեսուրսներից: Օգտակար բեռնվածքը կապվում է չարագործների հրամանների սերվերի հետ և ուղարկում վարակված սարքի մասին տվյալներ, մասնավորապես, MCC (Mobile Country Code) և MNC (Mobile Network Code) կոդերը, որոնք թույլ են տալիս որոշել, թե որ երկրում է գտնվում զոհը և որ բջջային օպերատորից է օգտվում։ Հրամանների սերվերն ի պատասխան ուղարկում է վճարովի բաժանորդագրությամբ էջը: Տրոյացին բացում է այն և փորձում օգտատիրոջ անունից բաժանորդագրվել ծառայությանը։ Եթե դրա համար անհրաժեշտ է մուտքագրել հաստատման կոդ, ապա վնասաբեր ծրագիրը ձեռք է գցում ծանուցումները, որոնց հասանելիությունը պահանջում է ամենասկզբում, և դրանցում փնտրում է անհրաժեշտ կոդը։
Տիրանալով կոդին՝ տրոյացին այն դնում է համապատասխան դաշտում և ավարտում բաժանորդագրության ձևակերպումը։ Զոհն այդ ժամանակ օգտվում է հավելվածի լեգիտիմ գործառույթներից, օրինակ, պաստառ է տեղադրում կամ լուսանկար խմբագրում, և չգիտի, որ իրեն բաժանորդագրում են վճարովի ծառայությունների»,– պարզաբանում են «Կասպերսկի» ընկերության փորձագետները:
Նրանց կարծիքով՝ չարագործներն MCC-ն և MNC-ն օգտագործել են, ըստ ամենայնի, թեստերի համար։ Կոդերը թայերեն էին, իսկ Google Play-ի՝ վարակված հավելվածների մասին կարծիքների շարքում գերակշռում էին թայերեն կարծիքները։ Այդ պատճառով նրանք ենթադրում են, որ վնասաբեր ծրագիրն ուղղված է թայլանդցի օգտատերերին, չնայած, «Կասպերսկի» ընկերության տվյալներով, զոհեր կան նաև այլ երկրներում, մասնավորապես, Լեհաստանում, Մալայզիայում, Ինդոնեզիայում և Սինգապուրում:
Նշվում է, որ վնասաբեր ծրագրերի աճող բարդությունը դրանց օգնում է հաջողությամբ անցնել հավելվածների խանութների բազմաթիվ ստուգումները և բավականին երկար ժամանակ աննկատ մնալ: Ընդ որում, տուժած օգտատերերն ամենևին շուտ չեն հայտնաբերում անկոչ բաժանորդագրությունները, առավել ևս, որ ավելի դժվար է լինում հասկանալ, թե որտեղից են դրանք հայտնվել։ Այդ պատճառով նման տրոյացիները չարագործների ապօրինի եկամտի հուսալի աղբյուր են։
Fleckpe-ի մասին ավելին կարելի է իմանալ հղմամբ՝ https://securelist.ru/fleckpe-a-new-family-of-trojan-subscribers-on-google-play/107374/.