Аналитики Trustlook Labs обнаружили трояна для Android, который похищает данные из популярных мобильных мессенджеров, включая Facebook Messenger, Skype, Telegram, Twitter и так далее.

В своем отчете исследователи не упоминают  о способах распространения новой малвари. Но учитывая тот факт, что изученное вредоносное приложение носит название «Облачный модуль» (Cloud Module) на китайском языке, а в Поднебесной не работает Google Play Store, можно предположить, что троян распространяется через сторонние каталоги приложений, сайты и форумы.

Изучение вредоноса показало, что он весьма прост, но при этом и эффективен. Так, после установки вредоносного приложения, троян сначала пытается внести изменения в файл /system/etc/install-recovery.sh. Если операция проходит успешно, это гарантирует малвари устойчивое присутствие в системе и запуск после каждой перезагрузки.

Закрепившись в системе, «Облачный модуль» принимается извлекать данные из популярных мессенджеров, среди которых:

  • Tencent WeChat;
  • Weibo;
  • Voxer Walkie Talkie Messenger;
  • Telegram Messenger;
  • Gruveo Magic Call;
  • Twitter;
  • Line;
  • Coco;
  • BeeTalk;
  • TalkBox Voice Messenger;
  • Viber;
  • Momo;
  • Facebook Messenger;

Хотя воровство информации из IM – это единственная функциональность этого, казалось бы, простого трояна (что уже достаточно необычно), специалисты отмечают, что Cloud Module применяет весьма серьезные техники «маскировки» и старается затруднить работу ИБ-специалистов. К примеру, троян уклоняется от динамического анализа кода, используя антиэмулятор и обнаруживая дебаггеры. Кроме того, разработчики малвари предприняли попытку обезопасить свой код посредством шифрования и задействовали XOR.

2 комментария

  1. Egor3f

    08.04.2018 at 09:09

    Как он вносит изменения в раздел /system/, который на стоковой прошивке без модификаций доступен только для чтения? Он использует какую-то уязвимость для повышения привилегий (получения рут) и монтирования /system/ в R/W? Или он тупо запрашивает рут права у пользователя (через SuperSU/Magisk)?

    • john_

      10.04.2018 at 07:00

      Троян призрак. Как распространяется непонятно, как работает тоже)) второй вариант с запросом прав рута- спорный, так как люди ставящие рту обычно понимают кому они выдают привилегии. Плюс у SuperSu есть логи, где видно кто запрашивал и получал привилегии… странно это все

Оставить мнение