11 июля очередное вирус (троян) внедрился в популярные мессенджеры Skype, WhatsApp, Viber и Telegram поставил под угрозу полмиллиарда смартфонов.

Эксперты компании Palo Alto Networks обнаружили нового трояна программу SpyDealer для Android, которая может перехватывать звонки, SMS, делать фото со встроенных камер и крадет персональные данные о владельцах зараженных устройств.

Этот вирус - шпионский инструмент направленного действия.

Троянец способен обеспечивать для зараженных им приложений административные привилегии с помощью эксплойтов из коммерческого приложения Baidu Easy Root, и этим обеспечивает себе возможность сбора данных и защищает себя от попыток удаления.

После установки троян регистрирует в системе два приемника, которые, в свою очередь, регистрируют загрузки устройства и статус беспроводного соединения. При первом запуске троянец считывает данные настроек из локального файла readme.txt - это IP-адрес командных серверов, а также функции, которые разрешено выполнять при подключении к сотовым сетям и/или к Wi-Fi.

Шпионский троян SpyDealer перехватывает SMS, звонки и собирает личные данные пользователей.
Поскольку принимающая функция имеет более высокий приоритет, нежели используемое по умолчанию коммуникационное приложение, SpyDealer может получать команды от командного сервера прямо с помощью SMS-сообщений. Он также создает TCP-сервер на скомпрометированном устройстве и «слушает» порт 39568. В определенных условиях он может устанавливать активные соединения через UDP или TCP.

 Вирус в Skype, WhatsApp, Viber и Telegram

Троян угрожает около 500 млн Android-устройств

Всего троянец может выполнять более полусотни различных команд. Для перехвата отдельных сообщений троян использует штатную функцию Android AccessibilityService.

В частности, троянец способен красть данные из популярных мессенджеров WeChat, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo. Заражения происходят:

  • из установленного приложения Facebook,
  • предустановленного браузера Android,
  • браузеров Firefox и Oupeng,
  • почтовых клиентов QQ Mail, NetEase Mail, Taobao и Baidu Net Disk.

Что может делать вирус SpyDealer

  • Проникнув на устройство, он собирает и переправляет на контролирующие серверы все доступные личные данные, в том числе номер телефона, данные IMEI, IMSI, сообщения SMS и MMS, список контактов, историю телефонных звонков, географическое местоположение и информацию о текущих соединениях Wi-Fi.
  • В некоторых случаях он может принимать телефонные звонки с определенного номера, записывать разговоры, делать скриншоты и снимки с помощью передней и тыловой камер.

- Все вместе это выглядит как «джентльменский набор» шпионских инструментов, причем, скорее всего, разрабатывавшийся для весьма избирательного применения, вплоть до слежки за конкретными лицами, - считает Ксения Шилак, директор по продажам компании SEC Consult. - На это, в частности, может указывать то, что часть жертв могла заразиться через скомпрометированные беспроводные сети.

Эксперты Palo Alto отмечают, что вирус не распространяется через приложения в официальном магазине Google Play Store (но ничего не говорят об альтернативных источниках приложений) и что как минимум некоторые пользователи в Китае были заражены через скомпрометированные Wi-Fi-соединения, которые могут встречаться как в публичных кафе, так и в отелях любого уровня.

Не ждите когда вас взломают!

Закажите апгрейд вашего сайта прямо сейчас!

Оставить заявку

Какие устройства повергаются заражению вирусом SpyDealer

Вирус воздействует в первую очередь на смартфоны старых версий, которые не обновляют свою операционную систему. Так как распространение новых операционных систем среди пользователей происходит ощутимо медленнее, чем их выпуск.

По состоянию на июнь 2017 г. доля версий до 4.4.х включительно весьма высока - около 25%. Версия 5.0 обогнала 4.4 по популярности только весной 2016 г., так что на момент своего предполагаемого запуска SpyDealer атаковал наиболее распространенные версии мобильной ОС.

SpyDealer может собирать довольно значительное количество данных и на версиях от пятой и выше, но реализованные в них защитные механизмы препятствуют выполнению функций, требующих повышенных привилегий.

Таким образом, из примерно 2 млрд работающих в мире Android-устройств, под ударом SpyDealer находятся около 500 млн.

Разработка троянца, судя по всему, активно продолжается, так что нельзя исключать, что пользователи коммуникационных приложений под более новыми версиями Android скоро также могут оказаться под угрозой.

Источник: cnews.ru

Популярные материалы по теме КИБЕР БЕЗОПАСНОСТЬ и хакерские атаки

Вы уже готовы заказать сайт, которым будете гордиться?

Тогда не теряйте время, напишите нам прямо сейчас!

Оставить заявку

Портфолио веб-студии АВАНЗЕТ

Наш блог: полезное и важное

Почему стоит заказать сайт на Joomla: анализ преимуществ джумла

По популярности CMS Joomla стабильно занимает 2-е место в мире после WordPress. Поэтому заказать сайт на джумла – вполне обоснованное решение. В этой статье мы сделаем подробный анализ преимуществ этого движка, на...

Подробнее...

Маркетинг сайта: как сделать лучший ресурс, шаг за шагом

Маркетинг сайта: как сделать лучший ресурс, продолжаем разбирать шаг за шагом. В первой части этой публикации: Создание лучшего веб сайта, шаг за шагом - мы начали рассматривать подход к созданию лучшего веб сайта в...

Подробнее...

Создание лучшего веб сайта, шаг за шагом

Большинство предпринимателей стремятся к созданию лучшего веб сайта в своей отрасли, но как это сделать и как понять, насколько хорошо разработан веб сайт? До того, как вы перейдете к оптимизации конверсии, сначала...

Подробнее...

Заявка на услуги

{emailcloak=off}

Все услуги веб-студии АВАНЗЕТ

Подать заявку
🎁

Получите на ваш e-mail: 65 секретных приёмов для взрывного роста вашего бизнеса

captcha