Специалисты Trend Micro обнаружили в дампе украденной у Hacking Team информации, поддельное новостное приложение BeNews для платформы Android. Малварь, прикинувшись безобидным новостным ПО, сумела пройти все проверки Google Play и без проблем попала в магазин приложений, хотя Google весной заявляла, что все приложения проверяют не только автоматически, но и вручную.
Приложение использовало название давно закрытого сайта BeNews, чтобы как можно больше походить на настоящее. Приложение скачали более 50 раз, и оно было удалено из Google Play 7 июля 2015 года.
Специалисты Trend Micro обнаружили в украденных у компании документах не только исходники с бекдором, но и подробные инструкции по использованию приложения для клиентов Hacking Team. В Trend Micro предполагают, что приложение эксплуатировали с целью установки RCSAndroid малвари (за авторством Hacking Team) на Android-устройства намеченных жертв.
BeNews представляло собой бекдор ANDROIDOS_HTBENEWS.A, который может воздействовать на Android начиная с версии 2.2 Froyo и заканчивая версией 4.4.4 KitKat. Бекдор использует уязвимость CVE-2014-3153, позволяющую повышать локальные привилегии.
Изучив приложение внимательнее, в Trend Micro пришли к выводу, что оно сумело обойти запреты Google Play, используя динамическую загрузку. К примеру, в самом приложении не обнаружено ничего похожего на эксплоит, и оно запрашивает у пользователя лишь три безобидных разрешения при установке. Все остальное, нужное для работы, приложение позже подгружало из сети, уже будучи установлено на устройство жертвы, после верификации Google. Интересно, что Hacking Team предоставляли своим клиентам полный сервис и предлагали даже готовый к использованию аккаунт Google Play.
Сама Hacking Team, тем временем, продолжает внутреннее расследование, совместно с правоохранительными органами. Так агентству Reuters стало известно, что прокуратура Милана сейчас допрашивает шестерых бывших сотрудников Hacking Team в связи со случившимся. Впрочем неизвестны ни имена этой шестерки, ни что послужило поводом для допроса.
Фото: mstable@flickr