Исследователи компании Palo Alto Networks обнаружили трояна DualToy, ориентированного на заражение устройств, работающих под управлением Windows. У малвари, заражающей пользователей в Китае, США, Великобритании, Таиланде, Испании и Ирландии, обнаружилась интересная особенность: DualToy устанавливает вредоносные приложения на iOS и Android устройства, подключенные по USB к инфицированному ПК.

Впервые вредонос DualToy, написанный на C++ и Delphi, попал в поле зрения экспертов еще в январе 2015 года. Тогда малварь атаковала преимущественно китайских пользователей. Теперь, спустя почти два года, эксперты выявили более 8000 образцов трояна. Хотя даже ранние версии DualToy умели заражать девайсы на базе Android, теперь вредонос научился атаковать и устройства на iOS.

Атаки на мобильные устройства не являются первоочередной задачей трояна. Так, на зараженном устройстве Windows малварь модифицирует настройки браузера и показывает пользователю нежелательную рекламу. Но как только к зараженному ПК через USB подключается мобильный гаджет, вредонос начинает развивать активность другого рода. К атаке на мобильные устройства малварь готовится заранее: после заражения Windows-системы, троян скачивает Android Debug Bridge (ADB) и драйверы iTunes. Эксперты пишут, что хакеры делают ставку на то, что когда к компьютеру подключают мобильный девайс, авторизация ним уже установлена и спаривание произведено. Это значительно облегчает доступ к мобильному гаджету.

Если доступ к Android или iOS устройству получен, малварь связывается с командным сервером, где хранится список вредоносных приложений для установки. Перед тем как скачать и установить их, DualToy также скачивает с управляющего сервера код, позволяющий получить root-доступ к Android-устройству. Это дает малвари возможность устанавливать приложения в фоновом режиме, без ведома пользователя.

Затем на Android-гаджеты устанавливаются китайские игры из сторонних магазинов приложений. Эксперты пишут, что ничего слишком опасного злоумышленники пока не распространяют, в основном приложения можно отнести к категориям adware и потенциально опасного ПО.

dualtoy_3
Приложения, которые троян устанавливает на Android-устройства

С iOS устройств вредонос похищает данные о IMEI, IMSI, ICCID, имени, типе и модели устройства, серийный номер, данные о прошивке и номере телефона. Затем на iOS девайс загружается ряд .ipa файлов (архивы с приложениями для iOS), среди которых есть и такие, которые запрашивают у пользователя Apple ID и пароль. Специалисты отмечают, что эта функция делает DualToy похожим на другой троян — AceDeceiver. Затем все собранные данные отправляются на сервер злоумышленников в зашифрованном виде.

dualtoy_15-500x428
Троян запрашивает Apple ID и пароль
dualtoy_17-500x147
Зашифрованные данные передаются на C&C-сервер

«Хотя атаки такого рода могут быть ограничены защитными механизмами (такими как включение ADB или песочницей iOS), что делает угрозу не слишком опасной, DualToy в очередной раз напоминает нам, что злоумышленники могут использовать USB для атак на мобильные устройства, а малварь способна распространяться между разными платформами», — заключают аналитики Palo Alto Networks.

Оставить мнение