Новое шпионское ПО для Android маскируется под «обновление системы»

06 апреля 19:30NK

Новая вредоносная программа может получить полный контроль над устройством жертвы.

Исследователи безопасности говорят, что новое мощное вредоносное ПО для Android, маскирующееся под критическое обновление системы, может получить полный контроль над устройством жертвы и украсть ее данные.

Вредоносное ПО было обнаружено в приложении под названием «Обновление системы», которое необходимо было установить вне Google Play, магазина приложений для устройств Android. После установки пользователем приложение скрывает и незаметно пересылает данные с устройства жертвы на серверы оператора.

Исследователи из компании по обеспечению безопасности мобильных устройств Zimperium, обнаружившей вредоносное приложение, заявили, что после того, как жертва установит приложение, вредоносное ПО связывается с сервером Firebase оператора, который используется для удаленного управления устройством.

Шпионское ПО может красть сообщения, контакты, сведения об устройстве, закладки браузера и историю поиска, записывать звонки и окружающий звук с микрофона, а также делать фотографии с помощью камер телефона. Вредоносная программа также отслеживает местоположение жертвы, ищет файлы документов и захватывает скопированные данные из буфера обмена устройства.

Вредоносная программа скрывается от жертвы и пытается избежать захвата, уменьшая объем потребляемых сетевых данных, загружая на серверы злоумышленника эскизы, а не полное изображение. Вирус также собирает самые свежие данные, включая местоположение и фотографии.

Генеральный директор Zimperium Шридхар Миттал сказал, что вредоносное ПО, скорее всего, было частью целевой атаки.

«Это, пожалуй, самое сложное, что мы когда-либо видели», - сказал Миттал. «Я думаю, что на создание этого приложения было потрачено много времени и усилий. Мы считаем, что существуют и другие подобные приложения, и изо всех сил стараемся найти их как можно скорее».

Заставить кого-то установить вредоносное приложение - простой, но эффективный способ скомпрометировать устройство жертвы. Вот почему устройства Android предупреждают пользователей, чтобы они не устанавливали приложения из неофициальных магазинов приложений. Но многие старые устройства не запускают последние приложения, вынуждая пользователей полагаться на более старые версии своих приложений из нелегальных магазинов.

Миттал подтвердил, что вредоносное приложение никогда не было доступно в Google Play. По сообщению, представитель Google не стал комментировать, какие шаги предпринимала компания, чтобы предотвратить попадание вредоносного ПО в магазин приложений Android. Google и раньше видел, как вредоносные приложения проскальзывают через его фильтры.

Этот вид вредоносного ПО имеет широкий доступ к устройству жертвы и имеет множество форм и названий, но в основном делает то же самое. На заре Интернета трояны удаленного доступа, или RAT, позволяли шпионам следить за жертвами через их веб-камеры. В настоящее время приложения для родительского контроля часто перепрофилируются для слежки за супругами, что называется сталкерским или шпионским ПО.

В прошлом году TechCrunch сообщал о сталкерском программном обеспечении KidsGuard - якобы приложении для родительского контроля, которое использовало аналогичное «обновление системы» для заражения устройств жертв.

Но исследователи не знают, кто создал вредоносное ПО и на кого оно нацелено.

«Мы видим рост числа RAT на мобильных устройствах. Уровень их сложности повышается, потому что мобильные устройства содержат столько же информации и гораздо менее защищены, чем традиционные персональные компьютеры», - говорит эксперт.