Новое вредоносное ПО с широкими возможностями шпионского ПО крадет данные с зараженных устройств Android и предназначено для автоматического срабатывания, когда новая информация готова к утечке.
Шпионское ПО можно установить только как приложение « Обновление системы » через сторонние магазины приложений для Android, поскольку оно никогда не было доступно в магазине Google Play.
Это резко ограничивает количество устройств, которые он может заразить, учитывая, что большинство опытных пользователей, скорее всего, вообще не будут устанавливать его.
У вредоносной программы также отсутствует способ самостоятельно заразить другие устройства Android, что увеличивает ее ограниченные возможности распространения.
Ворует почти все
Однако, когда дело доходит до кражи ваших данных, этот троян удаленного доступа (RAT) может собирать и пересылать обширный массив информации на свой командно-управляющий сервер.
Исследователи Zimperium, обнаружившие его, заявили, что он способен «красть данные, сообщения, изображения и брать под контроль телефоны Android».
«Получив контроль, хакеры могут записывать аудио и телефонные звонки, делать фотографии, просматривать историю браузера, получать доступ к сообщениям WhatsApp и многое другое», — добавили они.
Широкий спектр возможностей вредоносного ПО для кражи данных включает:
- Кража сообщений в мессенджерах;
- Кража файлов базы данных мессенджера (при наличии рута);
- Проверка закладок и поисков в браузере по умолчанию;
- Проверка закладок и истории поиска в Google Chrome, Mozilla Firefox и Интернет-браузере Samsung;
- Поиск файлов с определенными расширениями (включая .pdf, .doc, .docx, и .xls, .xlsx);
- Проверка данных буфера обмена;
- Проверка содержания уведомлений;
- Запись аудио;
- Запись телефонных разговоров;
- Периодически делать снимки (через переднюю или заднюю камеру);
- Листинг установленных приложений;
- Кража изображений и видео;
- Мониторинг местоположения по GPS;
- Кража SMS-сообщений;
- Кража телефонных контактов;
- Кража журналов вызовов;
- Извлечение информации об устройстве (например, установленные приложения, имя устройства, статистика хранилища).
После установки на устройство Android вредоносная программа отправит на свой командно-управляющий (C2) сервер Firebase несколько частей информации, включая статистику хранилища, тип подключения к Интернету и наличие различных приложений, таких как WhatsApp.
Шпионское ПО собирает данные напрямую, если оно имеет root-доступ, или будет использовать службы доступности после того, как обманом заставит жертв включить эту функцию на скомпрометированном устройстве.
Он также будет сканировать внешнее хранилище на наличие любых сохраненных или кэшированных данных, собирать их и доставлять на серверы C2, когда пользователь подключается к сети Wi-Fi.
Скрывается на виду
В отличие от других вредоносных программ, предназначенных для кражи данных, это будет запускаться с помощью приемников contentObserver и Broadcast Android только при выполнении некоторых условий, таких как добавление нового контакта, новые текстовые сообщения или установка новых приложений.
«Команды, полученные через службу обмена сообщениями Firebase, инициируют такие действия, как запись звука с микрофона и кража данных, таких как SMS-сообщения», — сказал Зимпериум.
«Связь Firebase используется только для выдачи команд, а выделенный C&C сервер используется для сбора украденных данных с помощью запроса POST».
Вредоносная программа также будет отображать поддельные уведомления об обновлении системы «Поиск обновлений …», когда она получает новые команды от своих хозяев для маскировки своей вредоносной активности.