Новое вредоносное ПО с широкими возможностями шпионского ПО крадет данные с зараженных устройств Android и предназначено для автоматического срабатывания при чтении новой информации для удаления.
Шпионское ПО можно установить только как приложение «Обновление системы», доступное в сторонних магазинах приложений Android, поскольку оно никогда не было доступно в магазине Google Play.
Это резко ограничивает количество устройств, которые он может заразить, учитывая, что большинство опытных пользователей, скорее всего, вообще не будут устанавливать его.
У вредоносного ПО также отсутствует метод заражения других устройств Android самостоятельно, что увеличивает его ограниченные возможности распространения.
Ворует почти все
Однако, когда дело доходит до кражи ваших данных, этот троян удаленного доступа (RAT) может собирать и пересылать обширный массив информации на свой командно-управляющий сервер.
Обнаружившие его исследователи Zimperium наблюдали его, «крадя данные, сообщения, изображения и взяв под контроль телефоны Android».
«Получив контроль, хакеры могут записывать аудио и телефонные звонки, делать фотографии, просматривать историю браузера, получать доступ к сообщениям WhatsApp и многое другое». добавили они.
Компания Zimperium сообщила, что ее обширный спектр возможностей для кражи данных включает:
- Кража сообщений в мессенджерах;
- Кража файлов базы данных мессенджера (при наличии рута);
- Проверка закладок и поисков в браузере по умолчанию;
- Проверка закладок и истории поиска в Google Chrome, Mozilla Firefox и Интернет-браузере Samsung;
- Поиск файлов с определенными расширениями (включая.pdf.doc.docx и.xls.xlsx);
- Проверка данных буфера обмена;
- Проверка содержания уведомлений;
- Запись аудио;
- Запись телефонных разговоров;
- Периодически делать снимки (через переднюю или заднюю камеру);
- Листинг установленных приложений;
- Кража изображений и видео;
- Мониторинг местоположения по GPS;
- Кража SMS-сообщений;
- Кража телефонных контактов;
- Кража журналов вызовов;
- Извлечение информации об устройстве (например, установленные приложения, имя устройства, статистика хранилища).
После установки на Android-устройство вредоносное ПО отправит на свой командно-административный (C2) сервер Firebase несколько частей информации, включая статистику хранилища, тип подключения к Интернету и наличие различных приложений, таких как WhatsApp.
Шпионское ПО собирает данные напрямую, если оно имеет root-доступ, или будет использовать службы доступности после того, как обманом заставит жертв включить эту функцию на скомпрометированном устройстве.
Он также будет сканировать внешнее хранилище на наличие любых сохраненных или кэшированных данных, собирать их и доставлять на серверы C2, когда пользователь подключается к сети Wi-Fi.
Скрывается на виду
В отличие от других вредоносных программ, предназначенных для кражи данных, это будет запускаться с помощью приемников contentObserver и Broadcast Android только при выполнении некоторых условий, таких как добавление нового контакта, новые текстовые сообщения или установка новых приложений.
«Команды, полученные через службу обмена сообщениями Firebase, инициируют такие действия, как запись звука с микрофона и кража данных, таких как SMS-сообщения». сказал Зимпериум.
«Связь Firebase используется только для выдачи команд, а выделенный C&C сервер используется для сбора украденных данных с помощью запроса POST».
Вредоносная программа также будет отображать фальшивую надпись «В поисках обновлений». уведомления об обновлении системы, когда она получает новые команды от своих хозяев, чтобы замаскировать свою вредоносную активность.
Шпионское ПО также скрывает свое присутствие на зараженных устройствах Android, скрывая значок в ящике / меню.
Чтобы еще больше избежать обнаружения, он будет красть только эскизы видео и изображений, которые он находит, тем самым снижая потребление полосы пропускания жертвами, чтобы не привлекать их внимание к фоновой активности кражи данных.
В отличие от других вредоносных программ, которые собирают данные массово, это также гарантирует, что оно эксфильтрует только самые последние данные, собирая данные о местоположении и фотографии, сделанные в течение последних нескольких минут.
Индикаторы компрометации, включая образцы хэшей вредоносных программ и адреса серверов C2, используемые во время этого шпионского ПО, доступны в конце отчета Zimperium.