Специалисты Trend Micro обнаружили вредоноса CallerSpy, который, по их мнению, может являться частью более крупной кибершпионской кампании. Малварь, нацеленная на пользователей Android, предназначенная для отслеживания звонков, текстовых сообщений и так далее.
Впервые исследователи заметили угрозу еще в мае текущего года: фейковая страница Google рекламировала приложение-чат под названием Chatrious. Вскоре после обнаружения страница с APK-файлом исчезла, и повторно заметить малварь удалось лишь в октябре текущего года, уже замаскированную под чат под названием Apex App. Оба упомянутые приложения являлись лишь ширмой для малвари CallerSpy.
Вредоносный сайт, на котором размещаются зараженные CallerSpy приложения, имитирует Google, хотя быстрая проверка URL-адреса показывает, что в слове Google присутствует лишняя буква «O». К сожалению, в некоторых мобильных браузерах эта информация не всегда отображается и не всегда бывает заметна. Эксперты отмечают, что домен был зарегистрирован в феврале 2019 года, но никаких сведений о его владельцах нет.
Хотя вредонос распространялся под видом приложений для чата, на самом деле они не содержат никакой функциональности такого рода, зато были нашпигованы шпионскими функциями.
Исследователи рассказывают, что после загрузки и запуска приложения подключались к управляющему серверу и ожидали дальнейших команд. По команде своих операторов CallerSpy способен собирать журналы вызовов, текстовые сообщения, списки контактов и файлов на устройстве, может использовать микрофон для записи окружающих звуков, а также делать скриншоты любых действий пользователя. Все похищенные данные передаются злоумышленникам.
Пока эксперты Trend Micro затрудняются сказать, каковы мотивы атакующих и на кого может быть нацелена эта вредоносная кампания, так как пока заражения CallerSpy среди пользователей обнаружены не были.
Хотя пока CallerSpy ориентирован исключительно на пользователей Android, судя по разделу загрузок на сайте, где размещается фальшивое приложение чата, злоумышленники так же планируют распространять версии для Apple и Windows. Это может свидетельствовать о том, что в будущем CallerSpy будет связан с более масштабной вредоносной кампанией.