Операционная система Android

Новый Android Malware Framework превращает приложения в мощные программы-шпионы

Исследователи безопасности обнаружили новую мощную инфраструктуру вредоносных программ для Android, которая используется киберпреступниками для превращения законных приложений в шпионские программы с широкими возможностями наблюдения – как часть целенаправленной шпионской кампании.

Легитимные приложения для Android, когда они объединены с вредоносной инфраструктурой, называются Triout, позволяют отслеживать зараженные устройства путем записи телефонных звонков и отслеживать текстовые сообщения, тайно красть фотографии и видео и собирать данные о местоположении – все это без каких-либо знаний пользователей.

Напряженность программ-шпионов, основанных на Triout, была впервые обнаружена исследователями безопасности в Bitdefender 15 мая, когда образец вредоносного ПО был загружен в VirusTotal кем-то, находящимся в России, но большинство из них было отправлено из Израиля.

В опубликованном white papper документе (PDF), исследователем Bitdefender Кристофером Очинском, анализируемый ими образец вредоносного ПО был упакован во вредоносную версию приложения для Android, которое было доступно в Google Play в 2016 году, но с тех пор было удалено.

Вредоносная программа чрезвычайно незаметна, так как переупакованная версия приложения для Android сохранила внешний вид и ощущение оригинального приложения и функционирует точно так же, как в этом случае, исследователь проанализировал приложение для взрослых под названием «Секс-игра», чтобы обмануть своих жертв.

Однако на самом деле приложение содержит вредоносную полезную нагрузку Triout, которая обладает мощными функциями наблюдения, которые крадут данные о пользователях и отправляют их обратно на сервер управления и контроля (C & C).

По словам исследователя, Triout может выполнять множество операций по шпионажу после того, как он подвергает риску систему, в том числе:

  • Запись каждого телефонного звонка, сохранение его в виде медиафайла, а затем отправка его вместе с идентификатором вызывающего абонента на удаленный сервер C & C.
  • Регистрация каждого входящего SMS-сообщения на удаленном сервере C & C.
  • Отправка всех журналов вызовов (с именем, номером, датой, типом и продолжительностью) на сервер C & C.
  • Отправка каждого изображения и видео злоумышленникам всякий раз, когда пользователь фотографирует или записывает видео, либо с передней, либо с задней камеры.
  • Возможность скрыться на зараженном устройстве.

Но, несмотря на мощные возможности вредоносного ПО, исследователи обнаружили, что вредоносное ПО не использует обфускацию, что помогло исследователям получить полный доступ к исходному коду, просто распаковав файл APK, предполагая, что вредоносное ПО является незавершенным.

«Это может означать, что структура может быть незавершенной, а разработчики тестируют функции и совместимость с устройствами», – сказал Ochincha.
«Сервер C & C (командный и контрольный), на который приложение, похоже, отправляет собранные данные, похоже, работает на момент написания этой статьи и работает с мая 2018 года».

Хотя исследователи не смогли найти способ распространения этой повторно упакованной версии законного приложения и сколько раз он был успешно установлен, они считают, что вредоносное приложение было доставлено жертвам либо сторонними магазинами приложений, либо другими доменами, контролируемыми злоумышленниками вероятно, используется для размещения вредоносного ПО.

Ochinca объясняет, что анализируемый образец Triout по-прежнему подписан с подлинным сертификатом Google Debug.

В то время никакие доказательства не указывают на нападавших, или определить, кто они и откуда они, но ясно, что атакующие обладают высокой квалификацией и полны ресурсов для разработки сложной формы шпионской инфраструктуры.

Лучший способ защитить себя от нежелательных жертв таких вредоносных приложений – это всегда загружать приложения из надежных источников, таких как Google Play Store, и придерживаться только проверенных разработчиков.

Кроме того, самое главное, дважды подумайте, прежде чем предоставлять какое-либо разрешение на приложение для чтения ваших сообщений, получить доступ к журналам вызовов, вашим GPS-координатам и любым другим данным, полученным с помощью датчиков Android.

Подписывайтесь на обновления сайта, а также наш Telegram.

Теги

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Related Articles

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button