Троян SpyDealer похищает данные из популярных Android-приложений
Главная » Новости

Троян SpyDealer похищает данные из популярных Android-приложений

Олег Иванов 10 Июля 2017 - 07:57
...
Троян SpyDealer похищает данные из популярных Android-приложений

Эксперты Palo Alto Networks обнаружили, что новый Android-троян может извлекать конфиденциальные данные из более чем 40 приложений. Вредонос, известный под именем SpyDealer, способен украсть сообщения из популярных программ для коммуникации. Для этого он использует функцию доступности Android (Android accessibility service feature). Также зловред может получить привилегии root при помощи экслойтов, используемых приложением для рутинга Baidu Easy Root. Root-права троян использует для того, чтобы укрепиться в системе.

По данным Palo Alto Networks, SpyDealer может удаленно управлять устройством через каналы UDP, TCP и SMS. Он может украсть информацию из популярных приложений, таких как WeChat, Facebook, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo, родной браузер Android, браузер Firefox, браузер Oupeng, QQ Mail, NetEase Mail, Taobao и Baidu Net Disk.

После того, как вредонос скомпрометирует устройство, он может собрать исчерпывающий список личной информации, включая номер телефона, IMEI, IMSI, SMS, MMS, контакты, учетные записи, историю звонков, местоположение и связанную с Wi-Fi информацию. Более того, троян может отвечать на звонки, записывать их, также записывать аудио и видео, фотографировать, используя камеру устройства, контролировать местоположение и делать снимки экрана.

Исследователи Palo Alto Networks не смогли точно определить, каким образом SpyDealer заражает устройства, но утверждают, что он не распространяется через официальный магазин Google Play и что некоторые пользователи могут быть заражены через скомпрометированные беспроводные сети. Троянец работает только для версий Android от 2.2 до 4.4, это значит, что он сможет поразить около 25% всех Android-устройств.

«На устройствах, работающих на более поздних версиях Android, SpyDealer также может украсть значительную часть информации, но не может предпринимать действия, требующие более высоких привилегий» - говорится в официальном заявлении компании.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Gorilla: новый Android-вредонос учится воровать и подслушивать
Екатерина Быстрова 18 Апреля 2025 - 09:25
Android Трояны Домашние пользователи
Gorilla: новый Android-вредонос учится воровать и подслушивать

Похоже, у Android-пользователей появился новый «зверь» под капотом — свежевылезший вредонос Gorilla. Пока он как будто только учится пакостить — никакой маскировки, всё на виду. Но даже в таком «юном» состоянии успел напугать специалистов своей функциональностью.

Gorilla, который уже успел привлечь внимание специалистов из Prodaft, написан на Kotlin и первым делом лезет в СМС — просит стать приложением по умолчанию.

Зачем? Чтобы читать, перехватывать и даже отправлять сообщения от вашего имени. А потом ещё и сортирует их по меткам: «Banks», «Yandex» — не к лучшему, правда?

Но не только СМС едины. Малварь запрашивает доступ к номеру телефона, данным сим-карты, списку приложений, модели устройства и даже тому, включён ли экран. Всё это аккуратно улетает операторам по WebSocket’у каждые 10 секунд. Такая вот «связь с центром».

Кстати, на панели управления у злоумышленников каждому заражённому устройству присваивается одна из трёх меток:

  • State Authority — видимо, это «особо интересные» цели,
  • Important — «второй сорт, но пригодны»,
  • Trash — всё остальное.

И это уже тревожный звоночек: возможно, Gorilla готовят не только для краж денег, но и для более серьёзного дела — вроде слежки за госслужащими или активистами.

 

Чтобы не вылетать из памяти, Gorilla запускает себя в фоновом режиме с помощью FOREGROUND_SERVICE и даже просит пользователя отключить для себя оптимизацию батареи. Особенно настойчиво — на устройствах Huawei и Honor, где он ещё и замедляет «сердцебиение» (частоту связи с сервером), чтобы не попасть под зачистку системой.

А ещё внутри кода обнаружили «запасные» функции:

  • WebViewActivity — по сути, это задел для будущих фишинговых атак через фальшивые страницы банков.
  • USSDReceiver — класс, который может активироваться, если набрать специальный код вроде *#0000#. Возможно, это будет использоваться как скрытая команда для активации малвари.

И хотя сейчас Gorilla только разминается, эксперты уверены: потенциал у него большой и явно не в добрую сторону. Перехваты СМС, слежка, хитрые трюки для выживания — в будущем он может стать серьёзным игроком на поле Android-угроз.

Так что включаем паранойю на минималках: дважды проверяем, что ставим, не раздаём права направо и налево и, как всегда — держим защитный софт в боевой готовности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Полиция задержала мошенников, укравших у агрегаторов 3,5 млн рублей
Новость
Полиция задержала мошенников, укравших у агрегаторов 3,5 млн...
Мошенники звонят под видом Госуслуг, выманивают СМС-код для угона аккаунта
Новость
Мошенники звонят под видом Госуслуг, выманивают СМС-код для...
В работе ChatGPT произошел сбой
Новость
В работе ChatGPT произошел сбой

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.