Исследователи Check Point обнаружили, что разработчик малвари для Android, известный как Triangulum, объединил усилия с неким HeXaGoN Dev, чтобы выпустить нового вредоноса Rogue. Эта малварь способна перехватывать контроль над устройствами жертв и похищать данные, в том числе фотографии, данные геолокации, контакты и сообщения.
Отчет экспертов гласит, что Triangulum впервые появился в даркнете в начале 2017 года. Его первый продукт представлял собой мобильный троян удаленного доступа для кражи данных и уничтожения информации на зараженном устройстве, включая операционную систему. Четыре месяца спустя Triangulum начал продавать первую малварь для Android.
После этого Triangulum исчез из даркнета почти на полтора года, вновь появившись 6 апреля 2019 с новым продуктом, готовым к продаже. С этого момента активность Triangulum возобновилась: в следующие полгода он активно рекламировал сразу несколько своих «продуктов». Исследователи предполагают, что за время отсутствия ему удалось создать целую сеть для производства и распространения малвари.
В ходе дальнейшего расследования команде исследователей удалось установить, что Triangulum работал вместе с другим злоумышленником, известным как HexaGoN Dev, который специализировался на разработке вредоносного ПО для Android, преимущественно троянов удаленного доступа.
Triangulum изо всех сил пытался сам продавать свои творения, но, не добившись успеха, был вынужден заключить партнерские отношения с «маркетологом» HexaGoN Dev, который, например, помог ему продавать одни и те же «продукты» под разными названиями. Порой HeXaGoN Dev и вовсе выдавал себя за потенциального покупателя в попытке привлечь больше клиентов. В итоге, объединив навыки программирования с социальным маркетингом злоумышленники получили результат. Дуэт создал несколько вредоносных программ для Android, включая майнеры, кейлоггеры и P2P (Phone to Phone) трояны.
- Cosmos: первая разработка Triangulum. Позволяет просматривать чужие сообщения и писать новые, отслеживать журнал вызовов, получать доступ к личным данным пользователя смартфона и делать снимки экрана.
- DarkShades: обладает той же функциональностью, что и Cosmos, но также имеетвозможность записывать звук и фотографировать с помощью камеры устройства.
- Rogue: обладает той же функциональностью, что и DarkShades и позволяет отправлять поддельные уведомления, регистрироваться в качестве приложения по умолчанию для обмена сообщениями и получить права администратора устройства.
По данным исследователей, недавно Triangulum и HeXaGoN Dev объединили усилия для создания новой малвари Rogue, которая представляет собой мобильный троян удаленного доступа. Этот вредонос позволяет получать доступ к устройствам жертв и похищать с них данные, в том числе фотографии, информацию о геолокации, контакты и сообщения, изменять файлы и загружать дополнительные вредоносные программы.
Получив все необходимые разрешения на смартфоне жертвы, Rogue скрывает свою иконку, чтобы пользователю было сложнее его удалить. Если необходимые для работы разрешения не были получены, Rogue неоднократно требует у пользователя их предоставить. Таким образом малварь получает права администратора. А если пользователь попытается отозвать права, на экране появляется пугающее пользователя сообщение: «Вы уверены, что хотите стереть все данные?».
Чтобы скрыть свои намерения, Rogue маскируется под официальное приложение от Google. В качестве C&C-сервера используется платформа Firebase, и, следовательно, все команды, а также украденная с устройства информация доставляются с помощью инфраструктуры Firebase.
Новая комбинация из двух старых вредоносов выставлена на продажу на хак-форумах всего за 29,99 долларов в месяц или за 189,99 долларов на неограниченный срок.
«Исследование Check Point Research позволило нам “подглядеть” за работой даркнета: как развивается вредоносное ПО, почему его нелегко отследить, классифицировать или эффективно выстроить защиту от преступников. Кроме того, взаимосвязь между этим «сумасшедшим» подпольным рынком и реальным миром легко позволяет злоумышленникам искажать факты и создавать фальшивые продукты. Даркнет все еще остается своего рода ”диким Западом”, на котором сложно понять, что является угрозой, а что — нет», — комментирует Сергей Забула, руководитель группы инженеров по работе с партнерами Check Point Software Technologies.