11 июля очередное вирус (троян) внедрился в популярные мессенджеры Skype, WhatsApp, Viber и Telegram поставил под угрозу полмиллиарда смартфонов.
Эксперты компании Palo Alto Networks обнаружили нового трояна программу SpyDealer для Android, которая может перехватывать звонки, SMS, делать фото со встроенных камер и крадет персональные данные о владельцах зараженных устройств.
Этот вирус - шпионский инструмент направленного действия.
Троянец способен обеспечивать для зараженных им приложений административные привилегии с помощью эксплойтов из коммерческого приложения Baidu Easy Root, и этим обеспечивает себе возможность сбора данных и защищает себя от попыток удаления.
После установки троян регистрирует в системе два приемника, которые, в свою очередь, регистрируют загрузки устройства и статус беспроводного соединения. При первом запуске троянец считывает данные настроек из локального файла readme.txt - это IP-адрес командных серверов, а также функции, которые разрешено выполнять при подключении к сотовым сетям и/или к Wi-Fi.
Шпионский троян SpyDealer перехватывает SMS, звонки и собирает личные данные пользователей.
Поскольку принимающая функция имеет более высокий приоритет, нежели используемое по умолчанию коммуникационное приложение, SpyDealer может получать команды от командного сервера прямо с помощью SMS-сообщений. Он также создает TCP-сервер на скомпрометированном устройстве и «слушает» порт 39568. В определенных условиях он может устанавливать активные соединения через UDP или TCP.
Троян угрожает около 500 млн Android-устройств
Всего троянец может выполнять более полусотни различных команд. Для перехвата отдельных сообщений троян использует штатную функцию Android AccessibilityService.
В частности, троянец способен красть данные из популярных мессенджеров WeChat, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo. Заражения происходят:
- из установленного приложения Facebook,
- предустановленного браузера Android,
- браузеров Firefox и Oupeng,
- почтовых клиентов QQ Mail, NetEase Mail, Taobao и Baidu Net Disk.
Что может делать вирус SpyDealer
- Проникнув на устройство, он собирает и переправляет на контролирующие серверы все доступные личные данные, в том числе номер телефона, данные IMEI, IMSI, сообщения SMS и MMS, список контактов, историю телефонных звонков, географическое местоположение и информацию о текущих соединениях Wi-Fi.
- В некоторых случаях он может принимать телефонные звонки с определенного номера, записывать разговоры, делать скриншоты и снимки с помощью передней и тыловой камер.
- Все вместе это выглядит как «джентльменский набор» шпионских инструментов, причем, скорее всего, разрабатывавшийся для весьма избирательного применения, вплоть до слежки за конкретными лицами, - считает Ксения Шилак, директор по продажам компании SEC Consult. - На это, в частности, может указывать то, что часть жертв могла заразиться через скомпрометированные беспроводные сети.
Эксперты Palo Alto отмечают, что вирус не распространяется через приложения в официальном магазине Google Play Store (но ничего не говорят об альтернативных источниках приложений) и что как минимум некоторые пользователи в Китае были заражены через скомпрометированные Wi-Fi-соединения, которые могут встречаться как в публичных кафе, так и в отелях любого уровня.
Какие устройства повергаются заражению вирусом SpyDealer
Вирус воздействует в первую очередь на смартфоны старых версий, которые не обновляют свою операционную систему. Так как распространение новых операционных систем среди пользователей происходит ощутимо медленнее, чем их выпуск.
По состоянию на июнь 2017 г. доля версий до 4.4.х включительно весьма высока - около 25%. Версия 5.0 обогнала 4.4 по популярности только весной 2016 г., так что на момент своего предполагаемого запуска SpyDealer атаковал наиболее распространенные версии мобильной ОС.
SpyDealer может собирать довольно значительное количество данных и на версиях от пятой и выше, но реализованные в них защитные механизмы препятствуют выполнению функций, требующих повышенных привилегий.
Таким образом, из примерно 2 млрд работающих в мире Android-устройств, под ударом SpyDealer находятся около 500 млн.
Разработка троянца, судя по всему, активно продолжается, так что нельзя исключать, что пользователи коммуникационных приложений под более новыми версиями Android скоро также могут оказаться под угрозой.
Источник: cnews.ru
Популярные материалы по теме КИБЕР БЕЗОПАСНОСТЬ и хакерские атаки
- WhatsApp вирусы. Рекомендации по защите
- Четыре тренда кибербезопасности 2017, которые должны знать ВСЕ
- РИА Новости предупреждает: о массовых хакерских атаках на банки в России
- Хакерские атаки – угроза безопасности для веб-сайта
- Безопасность сайта: как часто обновлять CMS чтобы предотвратить не санкционированный доступ