Исследователи из компании Zimperium обнаружили нового шпионского вредоноса для Android, который может воровать данные, сообщения, изображения или вообще захватить контроль над устройством. Какого-либо названия малвари специалисты не дали.
Спайварь маскируется под обновление системы (приложение System Update) и найти ее можно только в сторонних магазинах приложений для Android, то есть в Google Play Store вредонос никогда не проникал. Также исследователи отмечают, что распространяться на другие устройства самостоятельно угроза не может, что существенно ограничивает ее возможности и количество пострадавших пользователей. Но при этом вредонос способен похитить с зараженного устройства практически любую информацию:
«Получив контроль, хакеры могут записывать аудио и телефонные звонки, делать фотографии, просматривать историю браузера, получить доступ к сообщениям в WhatsApp и так далее», — пишут исследователи.
Эксперты перечисляют, какие данные может украсть спайварь:
- сообщения в мессенджерах;
- файлы баз данных мессенджера (при наличии root-прав);
- закладки по умолчанию и историю поисков в браузере;
- закладки и историю поиска в Google Chrome, Mozilla Firefox и браузере Samsung;
- файлы с определенными расширениями (включая .pdf, .doc, .docx, и .xls, .xlsx);
- данные из буфера обмена;
- содержимое уведомлений;
- список установленных приложений;
- изображения и видео;
- данные о местоположении по GPS;
- SMS-сообщения;
- телефонные контакты;
- журналы вызовов;
- информация об устройстве (например, установленные приложения, имя устройства, статистика хранилища).
Причем малварь будет воровать только превью видео и изображений, тем самым уменьшая расход трафика, чтобы не привлекать внимание пользователя к фоновой активности.
Помимо этого, как было сказано выше, вредонос может записывать аудио, телефонные разговоры жертвы, а также время от времени делать снимки через фронтальную или заднюю камеру девайса.
Отчет Zimperium гласит, что после установки малварь отправляет на свой управляющий сервер Firebase различные данные, включая статистику хранилища, данные о типе подключения к интернету и наличии различных приложений, таких как WhatsApp. При этом Firebase используется только для передачи команд, а отдельный C&C-сервер для сбора украденных данных (с помощью POST-запросов).
Данные спайварь собирает напрямую, если имеет root-доступ, или использует Accessibility Services, обманом заставив жертву включить эту функцию на скомпрометированном устройстве.
Еще одна интересная особенность вредоноса: для маскировки вредоносной активности он отображает поддельные уведомления о поиске обновлений, когда получает новые команды от своих операторов.
Индикаторы компрометации и подробный технический анализ угрозы можно найти в отчете Zimperium.