Срочно. Обнаружен новый мощный троян для устройств Android
Зловред маскируется под обновление системы и обладает огромным функционалом
Исследователи обнаружили новый троян для кражи информации, который нацелен на устройства Android с атакой возможностей кражи данных - от сбора поисковых запросов в браузере до записи аудио и телефонных звонков.
Обнаружен новый мощный троян захвата устройств Android. Фото: Pixabay
В то время как вредоносное ПО для Android ранее маскировалось под приложения-подражатели, которые носили названия, похожие на легитимное программное обеспечение, троян маскируется под приложение для обновления системы. Его цель — взять под контроль скомпрометированные устройства, сообщает The Hacker News.
«Шпионская программа создаёт уведомление, если экран устройства выключен , когда он получает команду с помощью службы обмена сообщений Firebase,» заявили исследователи Zimperium в анализе.— «Поиск обновлений ... »- это не законное уведомление от операционной системы, а шпионское ПО».
После установки зловред регистрирует устройство на сервере управления и контроля Firebase (C2). Он собирает информацию о проценте заряда батареи, статистике хранилища и установлен ли на телефоне WhatsApp, с последующим сбором и экспортом. Троян также любые данные, представляющие интерес для сервера, в виде зашифрованного ZIP-файла.
Шпионское ПО обладает множеством возможностей с упором на скрытность, включая тактику кражи контактов, закладок браузера и истории поиска, кражи сообщений путём злоупотребления службами специальных возможностей , записи аудио и телефонных звонков, а также фотосъёмки с помощью камер телефона. Он также может отслеживать местоположение жертвы, искать файлы с определёнными расширениями и получать данные из буфера обмена устройства.
«Функциональность шпионского ПО и кража данных запускаются при нескольких условиях, таких как добавление нового контакта, получение нового SMS или установка нового приложения с использованием приемников contentObserver и Broadcast Android», — заявили исследователи.
Более того, вредоносная программа не только организует собранные данные в несколько папок в своём частном хранилище, но и стирает любые следы вредоносной активности, удаляя ZIP-файлы, как только получает сообщение об успешном завершении с сервера C2 после эксфильтрации. В ещё одной попытке избежать обнаружения и скрыться от радаров, шпионское ПО также снижает потребление полосы пропускания, загружая эскизы вместо реальных изображений и видео, имеющихся во внешнем хранилище.
Хотя приложение «Обновление системы» никогда не распространялось через официальный магазин Google Play, исследование ещё раз подчёркивает, как сторонние магазины приложений могут содержать опасные вредоносные программы. Личность авторов вредоносного ПО, целевых жертв и конечный мотив кампании пока неясны.
Комментариев пока не было