Специалисты Trend Micro обнаружили в дампе украденной у Hacking Team информации, поддельное новостное приложение BeNews для платформы Android. Малварь, прикинувшись безобидным новостным ПО, сумела пройти все проверки Google Play и без проблем попала в магазин приложений, хотя Google весной заявляла, что все приложения проверяют не только автоматически, но и вручную.

Приложение использовало название давно закрытого сайта BeNews, чтобы как можно больше походить на настоящее. Приложение скачали более 50 раз, и оно было удалено из Google Play 7 июля 2015 года.

BeNews_04

Специалисты Trend Micro обнаружили в украденных у компании документах не только исходники с бекдором, но и подробные инструкции по использованию приложения для клиентов Hacking Team. В Trend Micro предполагают, что приложение эксплуатировали с целью установки RCSAndroid малвари (за авторством Hacking Team) на Android-устройства намеченных жертв.

BeNews представляло собой бекдор ANDROIDOS_HTBENEWS.A, который может воздействовать на Android начиная с версии 2.2 Froyo и заканчивая версией 4.4.4 KitKat. Бекдор использует уязвимость CVE-2014-3153, позволяющую повышать локальные привилегии.

BeNews_06
Инструкции по управлению серверными настройками BeNews.

 

Изучив приложение внимательнее, в Trend Micro пришли к выводу, что оно сумело обойти запреты Google Play, используя динамическую загрузку. К примеру, в самом приложении не обнаружено ничего похожего на эксплоит, и оно запрашивает у пользователя лишь три безобидных разрешения при установке. Все остальное, нужное для работы, приложение позже подгружало из сети, уже будучи установлено на устройство жертвы, после верификации Google. Интересно, что Hacking Team предоставляли своим клиентам полный сервис и предлагали даже готовый к использованию аккаунт Google Play.

BeNews_08
Инструкции по обращению с аккаунтом Google Play.

 

Сама Hacking Team, тем временем, продолжает внутреннее расследование, совместно с правоохранительными органами. Так агентству Reuters стало известно, что прокуратура Милана сейчас допрашивает шестерых бывших сотрудников Hacking Team в связи со случившимся. Впрочем неизвестны ни имена этой шестерки, ни что послужило поводом для допроса.

Фото: mstable@flickr



5 комментариев

  1. k0t1k

    19.07.2015 at 17:20

    Приложение скачали более 50 раз? Тысяч, может быть?

  2. axp

    20.07.2015 at 08:38

    Ребят, куда дели оплату пейпалом?
    Вашей робокассой из вне-снг не оплатить…(

  3. Int

    27.07.2015 at 02:32

    > проверяют не только автоматическую, но и вручную
    АНонс на главной тоже исправлять надо, не только текст.

Оставить мнение