Разработан троян - перехватчик для Android

Ксения Ренселаева 24 Января 2011 - 14:45

...

Группой исследователей в области безопасности создан экспериментальный образец трояна для операционной системы Android. Зловред предназначен для прослушивания и перехвата персональных данных во время разговора или набора текстовых сообщений.

Как сообщается, троян «Soundminer» замаскирован под приложение, которое по функциональному предназначению напоминает диктофон. Однако, этот «диктофон» при установке запрашивает доступ ко всем приложениям и функциям телефона, включая доступ к сети, доступ к внешним и внутренним устройствам хранения информации, а также к аппаратным функциям устройства, такие как: подсветка экрана, светодиодная подсветка или доступ к микрофону.

С момента установки, программа, пребывая в фоновом режиме, без каких-либо уведомлений записывает все звонки и передаваемые сообщения. Затем производится местный анализ данных и сбор нужной информации. Причем зловред работает в двухстороннем режиме, то есть, «на мушку» берется и собеседник жертвы. Кроме того, программа снабжена функцией перехвата и распознавания тоновых сигналов при наборе с виртуальной клавиатуры, которые затем конвертируются в числовые значения.

Исследователи также предусмотрели момент передачи «ценной информации» злоумышленнику. Дело в том, что самостоятельно программа не может отправлять данные на удаленный сервер, поскольку у нее нет таких полномочий, иначе это вызвало бы подозрения при установке. Было решено разработать еще одно приложение «Deliverer», которое будет иметь доступ к сети. Учитывая то, что разработчики операционной системы исключили возможность обмена информацией между двумя приложениями без уведомления пользователя, ученые снабдили новое приложение возможностью «читать» любые изменения подсветки экрана или уровня звука. Таким образом, перехватчик, изменив определенным образом эти паратметры, может передать собранную информацию «Deliverer», а уж последний доведет дело до конца.

Согласно мнению исследователей, в качестве защиты от такого зловреда можно предусмотреть редактируемый список номеров телефонов, для которых запись звуковых сообщений будет запрещена. Однако создание такой возможности пока только в планах.

Свою разработку ученые планируют представить на очередном симпозиуме Network & Distributed System Security Symposium, который пройдет в Сан – Диего, штат Калифорния.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 29 Января 2025 - 18:59

Android Трояны Шпионские программы Программы слежения Домашние пользователи Лаборатория Касперского

SpyNote, Mamont, NFCGate стали ключевыми финансовыми угрозами для Android

Эксперты «Лаборатории Касперского» проанализировали наиболее распространённые финансовые киберугрозы, с которыми столкнулись российские пользователи Android в 2024 году и которые остаются актуальными в 2025-м. Среди них — троян с функциями удалённого доступа, мобильный банковский вредонос и модификация утилиты для анализа NFC-трафика.

Модифицированная версия NFCGate

В конце 2024 года в России активизировалась вредоносная кампания, продолжающаяся в 2025-м. В её рамках злоумышленники распространяют в мессенджерах под видом полезных программ вредоносную версию NFCGate — утилиты для анализа NFC-трафика.

После установки приложение запрашивает у жертвы «верификацию» банковской карты: пользователя просят приложить её к смартфону и ввести ПИН-код на поддельной странице. Эти данные позволяют злоумышленникам снимать деньги в банкоматах от имени владельца карты.

С ноября 2024 года по январь 2025-го специалисты «Лаборатории Касперского» выявили около 80 новых вредоносных образцов модифицированной NFCGate.

«Эта атака — пример глобализации кибермошенничества. Аналогичные схемы применялись за рубежом, а затем были адаптированы для российских пользователей. Подобные трояны могут использовать одинаковые методы, но разрабатываться разными группами. Для эффективного противодействия важно оперативное взаимодействие вендоров, регуляторов и правоохранительных органов», — комментирует Сергей Голованов, главный эксперт «Лаборатории Касперского».

Mamont

Мобильный банковский троян Mamont начал активно применяться в 2024 году. Злоумышленники распространяют его разными способами, включая рассылку с украденных телеграм-аккаунтов. Вредонос маскируется под популярные приложения, например сервисы отслеживания доставки, и запрашивает доступ к СМС- и пуш-уведомлениям. Получив разрешение, оно перехватывает коды подтверждения и использует их для кражи средств через СМС-банкинг.

Некоторые версии Mamont также способны перехватывать коды подтверждения для входа в телеграм-аккаунты. В 2024 году активность этого трояна значительно возросла: в четвёртом квартале число атак увеличилось более чем втрое по сравнению с первым, что эквивалентно сотням тысяч случаев заражения.

«В 2024 году число пользователей Android, столкнувшихся с различными мобильными угрозами, выросло на 11% по сравнению с 2023 годом. Одним из ключевых трендов стало активное распространение вредоносного ПО через мессенджеры под видом легитимных приложений. Важно соблюдать базовые меры безопасности: не переходить по подозрительным ссылкам, скачивать приложения только из официальных магазинов, регулярно обновлять ПО и использовать защитные решения», — отмечает Дмитрий Калинин, эксперт по кибербезопасности «Лаборатории Касперского».

SpyNote

SpyNote — шпионский софт с функциями удалённого доступа, используемый злоумышленниками для кражи платёжных данных владельцев Android-устройств. В частности, его применяют телефонные мошенники для получения учётных данных от онлайн-банкинга.

По данным «Лаборатории Касперского», в 2024 году количество атак с использованием SpyNote в России увеличилось почти в девять раз по сравнению с 2023 годом, достигая сотен тысяч случаев.

Как защититься от угроз

Эксперты рекомендуют пользователям соблюдать меры предосторожности: