Thursday, 06 October 2022

105 milyon Android istifadəçisi abunə saxtakarlığı kampaniyasının hədəfindədir

Android üçün premium xidmətlərə abunə dələduzluğu iki ilə yaxındır ki, fəaliyyət göstərir. 

“Dark Herring” adlanan əməliyyat 470 Google Play Store proqramından istifadə etdi və dünya üzrə 100 milyondan çox istifadəçiyə təsir etdi və potensial olaraq yüz milyonlarla ABŞ dolları məbləğində ümumi itkiyə səbəb oldu.

“Dark Herring” Android-in rəsmi və ən etibarlı tətbiq mənbəyi olan Google Play Store-da 470 tətbiqdə olub və ən erkən təqdimat 2020-ci ilin mart ayına aiddir.

Ümumilikdə, saxta tətbiqlər 70 ölkədə 105 milyon istifadəçi tərəfindən quraşdırılıb və onları Direct Carrier Billing (DCB) vasitəsilə ayda 15 dollar ödəyən premium xidmətlərə abunə olub.

DCB, insanlara Play Store-dan rəqəmsal məzmunu ilkin ödəniş balansına və ya fakturalı hesaba yükləməyə imkan verən mobil ödəniş seçimidir.


'Dark Herring' operatorları abunələri nağdlaşdırdılar, halbuki istifadəçilər saxta ödənişləri çox sonra, bəzən infeksiyadan bir neçə ay sonra başa düşdülər.

“Dark Herring”in kəşfi Google tərəfdaşı və Google Tətbiq Müdafiəsi Alyansının üzvü olan Zimperium zLabs şirkətindən gəlir, məqsədi Play Store-da zərərli proqram problemini həll etməkdir.

Zərərli proqram necə işləyir
Dark Herring-in uzunmüddətli uğuru AV-in aşkarlanmaya qarşı imkanlarına, çoxlu sayda proqramlar vasitəsilə yayılmasına, kodu çaşdırmağa və birinci mərhələ URL-ləri kimi proksilərin istifadəsinə əsaslanırdı.

Yuxarıda göstərilənlərin heç biri yeni və ya təməlqoyma olmasa da, onların bir proqram parçasına birləşdirildiyini görmək Android fırıldaqçılığı üçün nadirdir.

Bundan əlavə, aktyorlar 470 tətbiqin bütün istifadəçilərindən kommunikasiya alan, lakin unikal identifikator əsasında hər birini ayrıca idarə edən mürəkkəb infrastrukturdan istifadə edirdilər.

Quraşdırılmış proqramda heç bir zərərli kod yoxdur, lakin Amazon-un CloudFront-da yerləşdirilən birinci mərhələ URL-yə işarə edən sərt kodlu şifrələnmiş sətirə malikdir.

Serverdən gələn cavab yoluxmuş cihaza endirilən AWS nümunələrində yerləşdirilən əlavə JavaScript fayllarına keçidləri ehtiva edir.
Bu skriptlər proqramı qurbana münasibətdə konfiqurasiyasını əldə etməyə hazırlayır, unikal identifikatorlar yaradır, dil və ölkə təfərrüatlarını əldə edir və hər bir halda hansı DCB platformasının tətbiq oluna biləcəyini müəyyənləşdirir.

Nəhayət, proqram qurbanı telefon nömrəsini daxil etməyə, tətbiqdə hesabı aktivləşdirmək üçün müvəqqəti OTP (birdəfəlik parol) kodunu almağa dəvət edən fərdiləşdirilmiş WebView səhifəsinə xidmət edir.

Proqramlar və hədəflər:
Zərərli proqramı yaymaq üçün 470 proqramla hədəflənən demoqrafik göstəricilər olduqca müxtəlif idi. Bu proqramların əksəriyyəti daha geniş və daha populyar “Əyləncə” kateqoriyasına düşür.

Digər geniş yayılmış Dark Herring proqramları fotoqrafiya alətləri, təsadüfi oyunlar, kommunal xidmətlər və məhsuldarlıq proqramları idi.

Dark Herring əməliyyatının nəticələrinin əsas amillərindən biri DCB istehlakçıların müdafiəsi ilə bağlı qanunların olmamasıdır, buna görə də bəzi ölkələr digərlərindən daha həvəslə hədəfə alınıb.

Daha çox risk altında olanlar Hindistan, Pakistan, Səudiyyə Ərəbistanı, Misir, Yunanıstan, Finlandiya, İsveç, Norveç, Bolqarıstan, İraq və Tunis olub.
 
©2021 Check Security