Специалисты компании Palo Alto Networks обнаружили нового Android-вредоноса SpyDealer, который способен не только получать на зараженных устройствах root-права, но также похищать данные более чем из 40 приложений и отслеживать местоположение своих жертв.

Анализируя SpyDealer, эксперты пришли к выводу, что хотя угроза была обнаружена недавно, она существует с 2015 года. Так, исследователям удалось выявить 1046 образчиков SpyDealer, среди которых активность в наши дни сохраняют три версии: v1.9.1, v1.9.2 и v1.9.3.

По данным аналитиков, вредонос не проникал в Google Play, а большинство пострадавших пользователей находятся в Китае, где SpyDealer распространяется в составе приложений GoogleService и GoogleUpdate.

Специалисты считают, что малварь все еще находится на стадии разработки, но, несмотря на это, уже сейчас демонстрирует широкие возможности. Так, среди отличительных черт SpyDealer были перечислены следующие особенности:

  • SpyDealer может похищать данные из приложений, установленных на зараженном устройстве. Среди них WeChat, Facebook, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo, Android Native Browser, Firefox Browser, Oupeng Brower, QQ Mail, NetEase Mail, Taobao и Baidu Net Disk;
  • эксплуатируя легитимную функцию Accessibility Services, вредонос может отправлять сообщения через такие мессенджеры, как WeChat, Skype, Viber и QQ;
  • контроль зараженного устройства может осуществляться посредством UDP, TCP или SMS;
  • вредонос собирает всю информацию о зараженном устройстве, включая номер телефона, IMEI, IMSI, SMS, MMS, контакты, историю звонков, местоположение, данные о Wi-Fi и так далее;
  • SpyDealer может делать снимки экрана устройства, делать фото основной или фронтальной камерой девайса, записывать аудио и видео (при помощи скрытых звонков), следить за данными геолокации, автоматически отвечать на входящие вызовы с определенных номеров.

Так как большинство вредоносных функций малвари требуют наличия root-доступа, SpyDealer использует для получения привилегий администратора коммерческий инструмент Baidu Easy Root, который позволяет получить искомые права на устройствах, работающих под управлением Android от 2.2 до 4.4. Так, по словам исследователей Palo Alto Networks, уязвимо каждое четвертое Android-устройство. Если же вредоносу не удается обзавестись root-привилегиями, он не задействует наиболее опасные функции и ограничивается простым сбором информации.



Оставить мнение