Эксперты компании Heimdal Security обнаружили нового вредоноса, атакующего устройства на базе Android. Малварь не только распространяется нестандартным способом: посредством SMS и MMS-сообщений, но также способна получить root-доступ к устройству, похитить финансовую информацию и удалить все данные со смартфона жертвы.
Исследователи называют способ распространения Mazar BOT уникальным. Действительно, в наши дни мобильная малварь в основном поджидает жертв в сторонних магазинах приложений (а порой даже в официальном Google Play). Ссылки на Mazar BOT, в свою очередь, рассылают в спам-сообщениях: обычных SMS и MMS. Перейдя по такой ссылке, пользователь скачивает вредоносный файл APK, запуск которого инициирует установку приложения.
В систему вредонос проникает под именем MMS Messaging и запрашивает права администратора, которые доверчивые жертвы ему и предоставляют.
После получения root-доступа, Mazar BOT способен на многое. В числе прочего, малварь может:
- читать и отправлять SMS-сообщения (очень полезно для взлома двухфакторной аутентификации);
- звонить на произвольные номера и номера из списка контактов;
- собирать данные о состоянии телефона;
- заражать браузер Chrome;
- изменять настройки устройства;
- принудительно переводить устройство в спящий режим;
- запрашивать сетевой статус;
- выходить в интернет;
- удалять с устройства все данные.
Исследователи пишут, что при этом Mazar BOT скачивает и устанавливает на пораженное устройство легитимное приложение Tor, которое затем использует для всех выходов в сеть. В некоторых случаях также используется приложение Polipo proxy, которое поднимает на зараженном устройстве прокси, позволяя операторам вредоноса следить за трафиком жертвы и осуществлять man in the middle атаки.
Также после заражения устройства вредонос отправляет сообщение на иранский номер. Послание содержит фразу «Thank you». На деле это сообщение работает как маячок, то есть оно сигнализирует операторам кампании, что заражен новый гаджет и сообщает его местоположение.
Имеется у Mazar BOT и еще одна интересная особенность: малварь не устанавливается на устройства, где основным системным языком выбран русский.
Исследователи пишут, что это первый зафиксированный случай атак с использованием Mazar BOT, хотя впервые реклама малвари в даркнете была замечена специалистами Recorded Future еще в 2015 году.