11 июля очередное вирус (троян) внедрился в популярные мессенджеры Skype, WhatsApp, Viber и Telegram поставил под угрозу полмиллиарда смартфонов.

Эксперты компании Palo Alto Networks обнаружили нового трояна программу SpyDealer для Android, которая может перехватывать звонки, SMS, делать фото со встроенных камер и крадет персональные данные о владельцах зараженных устройств.

Этот вирус - шпионский инструмент направленного действия.

Троянец способен обеспечивать для зараженных им приложений административные привилегии с помощью эксплойтов из коммерческого приложения Baidu Easy Root, и этим обеспечивает себе возможность сбора данных и защищает себя от попыток удаления.

После установки троян регистрирует в системе два приемника, которые, в свою очередь, регистрируют загрузки устройства и статус беспроводного соединения. При первом запуске троянец считывает данные настроек из локального файла readme.txt - это IP-адрес командных серверов, а также функции, которые разрешено выполнять при подключении к сотовым сетям и/или к Wi-Fi.

Шпионский троян SpyDealer перехватывает SMS, звонки и собирает личные данные пользователей.
Поскольку принимающая функция имеет более высокий приоритет, нежели используемое по умолчанию коммуникационное приложение, SpyDealer может получать команды от командного сервера прямо с помощью SMS-сообщений. Он также создает TCP-сервер на скомпрометированном устройстве и «слушает» порт 39568. В определенных условиях он может устанавливать активные соединения через UDP или TCP.

 Вирус в Skype, WhatsApp, Viber и Telegram

Троян угрожает около 500 млн Android-устройств

Всего троянец может выполнять более полусотни различных команд. Для перехвата отдельных сообщений троян использует штатную функцию Android AccessibilityService.

В частности, троянец способен красть данные из популярных мессенджеров WeChat, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo. Заражения происходят:

  • из установленного приложения Facebook,
  • предустановленного браузера Android,
  • браузеров Firefox и Oupeng,
  • почтовых клиентов QQ Mail, NetEase Mail, Taobao и Baidu Net Disk.

Что может делать вирус SpyDealer

  • Проникнув на устройство, он собирает и переправляет на контролирующие серверы все доступные личные данные, в том числе номер телефона, данные IMEI, IMSI, сообщения SMS и MMS, список контактов, историю телефонных звонков, географическое местоположение и информацию о текущих соединениях Wi-Fi.
  • В некоторых случаях он может принимать телефонные звонки с определенного номера, записывать разговоры, делать скриншоты и снимки с помощью передней и тыловой камер.

- Все вместе это выглядит как «джентльменский набор» шпионских инструментов, причем, скорее всего, разрабатывавшийся для весьма избирательного применения, вплоть до слежки за конкретными лицами, - считает Ксения Шилак, директор по продажам компании SEC Consult. - На это, в частности, может указывать то, что часть жертв могла заразиться через скомпрометированные беспроводные сети.

Эксперты Palo Alto отмечают, что вирус не распространяется через приложения в официальном магазине Google Play Store (но ничего не говорят об альтернативных источниках приложений) и что как минимум некоторые пользователи в Китае были заражены через скомпрометированные Wi-Fi-соединения, которые могут встречаться как в публичных кафе, так и в отелях любого уровня.

Какие устройства повергаются заражению вирусом SpyDealer

Вирус воздействует в первую очередь на смартфоны старых версий, которые не обновляют свою операционную систему. Так как распространение новых операционных систем среди пользователей происходит ощутимо медленнее, чем их выпуск.

По состоянию на июнь 2017 г. доля версий до 4.4.х включительно весьма высока - около 25%. Версия 5.0 обогнала 4.4 по популярности только весной 2016 г., так что на момент своего предполагаемого запуска SpyDealer атаковал наиболее распространенные версии мобильной ОС.

SpyDealer может собирать довольно значительное количество данных и на версиях от пятой и выше, но реализованные в них защитные механизмы препятствуют выполнению функций, требующих повышенных привилегий.

Таким образом, из примерно 2 млрд работающих в мире Android-устройств, под ударом SpyDealer находятся около 500 млн.

Разработка троянца, судя по всему, активно продолжается, так что нельзя исключать, что пользователи коммуникационных приложений под более новыми версиями Android скоро также могут оказаться под угрозой.

Источник: cnews.ru

Популярные материалы по теме КИБЕР БЕЗОПАСНОСТЬ и хакерские атаки

Хотите заказать создание сайта с гарантией быстрого продвижения в ТОП?

Оставьте ваши контакты!

Вам нужен сайт с гарантией быстрого продвижения?
Отправьте нам заявку прямо сейчас!!

{aicontactsafeform pf=12}

Вы уже готовы заказать сайт, которым будете гордиться?

Тогда не теряйте время, напишите нам прямо сейчас!

Оставить заявку

Портфолио веб-студии АВАНЗЕТ

Наш блог: полезное и важное

Рекомендации по знакам: что желательно сделать, встречая 2018 – год собаки

Чтобы порадовать и удивить вас мы сделали подборку забавных фотографий как собака общается с другими знаками зодиака. Эти милые фото обязательно поднимут ваше настроение и дадут заряд оптимизма на целый день! И еще...

Подробнее...

Как понять что сайт взломали? Что делать если это майнинг биткоина

Как произошло, что ваш сайт взломали? Как определить, что хакеры проникли в браузер на вашем ПК? Как определить что вашем компьютере происходит майнинг биткоина? И зачем майнерам нужен ваш компьютер? Эксперты...

Подробнее...

8 супер идей для писем рассылки в декабре 2017 г.

Скоро декабрь и наступает пора отправлять письма рассылки, чтобы напомнить о себе и активизировать новогоднюю распродажу. И сразу встает вопрос: какой текст рассылки подготовить? Можете использовать 8 супер идей,...

Подробнее...

Заявка на услуги

{emailcloak=off}

Все услуги веб-студии АВАНЗЕТ

Подать заявку
🎁

Получите на ваш e-mail: 65 секретных приёмов для взрывного роста вашего бизнеса