Новый троян напал на WhatsApp, Skype, Viber и Telegram. Под угрозой полмиллиарда смартфонов

Безопасность Стратегия безопасности Пользователю Техника
мобильная версия
, Текст: Роман Георгиев
Программа SpyDealer способна перехватывать SMS, звонки, делать снимки со встроенных камер и собирает личные данные о пользователях зараженных устройств. Судя по всему, это шпионский инструмент узконаправленного действия.

«Хочу все знать»

Эксперты Palo Alto Networks выявили новую троянскую программу для Android, способную воровать личные данные из коммуникационных приложений и телефонных звонков.

Троянец способен обеспечивать для зараженных им приложений административные привилегии с помощью эксплойтов из коммерческого приложения Baidu Easy Root, и этим обеспечивает себе возможность сбора данных и защищает себя от попыток удаления.

После установки вредонос регистрирует в системе два приемника, которые, в свою очередь, регистрируют загрузки устройства и статус беспроводного соединения. При первом запуске троянец считывает данные настроек из локального файла readme.txt - это IP-адрес командных серверов, а также функции, которые разрешено выполнять при подключении к сотовым сетям и/или к Wi-Fi.

Поскольку принимающая функция имеет более высокий приоритет, нежели используемое по умолчанию коммуникационное приложение, SpyDealer может получать команды от командного сервера прямо с помощью SMS-сообщений. Он также создает TCP-сервер на скомпрометированном устройстве и «слушает» порт 39568. В определенных условиях он может устанавливать активные соединения через UDP или TCP.

Шпионский троян SpyDealer перехватывает SMS, звонки и собирает личные данные пользователей.
Троян угрожает около 500 млн Android-устройств

Всего троянец может выполнять более полусотни различных команд. В частности, как отмечают исследователи, троянец способен красть данные из популярных мессенджеров WeChat, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo, из приложения, Facebook, предустановленного браузера Android, браузеров Firefox и Oupeng, почтовых клиентов QQ Mail, NetEase Mail, Taobao и Baidu Net Disk.

Для перехвата отдельных сообщений вредонос использует штатную функцию Android AccessibilityService.

Джентльменский набор шпиона

Проникнув на устройство, он собирает и переправляет на контролирующие серверы все доступные личные данные, в том числе номер телефона, данные IMEI, IMSI, сообщения SMS и MMS, список контактов, историю телефонных звонков, географическое местоположение и информацию о текущих соединениях Wi-Fi.

В некоторых случаях он может принимать телефонные звонки с определенного номера, записывать разговоры, делать скриншоты и снимки с помощью передней и тыловой камер.

- Все вместе это выглядит как «джентльменский набор» шпионских инструментов, причем, скорее всего, разрабатывавшийся для весьма избирательного применения, вплоть до слежки за конкретными лицами, - считает Ксения Шилак, директор по продажам компании SEC Consult. - На это, в частности, может указывать то, что часть жертв могла заразиться через скомпрометированные беспроводные сети.

Действительно, эксперты Palo Alto отмечают, что вредонос не распространяется через приложения в официальном магазине Google Play Store (но ничего не говорят об альтернативных источниках приложений) и что как минимум некоторые пользователи в Китае были заражены через скомпрометированные Wi-Fi-соединения, которые могут встречаться как в публичных кафе, так и в отелях любой «звездочности».

То, что создатели троянца более всего заинтересованы именно пользователями, располагающимися на территории Китая, указывает и то, что он атакует коммуникационные приложения, наиболее распространенные в КНР, и то, что большинство его контрольных серверов располагаются имеют китайские IP-адреса (несколько штук, правда, располагаются на территории США).

Есть и еще один значимый фактор: в то время как первый перехваченный сэмпл SpyDealer датирован 2015 г., по-настоящему эффективен он только на устройствах под управлением Android 2.2.x-4.4.x, а последнее обновление к версиям 4.4.х датировано 2013 г. В 2015 г. актуальной была пятая версия Android, вышедшая в конце 2014 г.

С другой стороны, распространение новых операционных систем среди пользователей происходит ощутимо медленнее, чем их выпуск, и по состоянию на июнь 2017 г. доля версий до 4.4.х включительно весьма высока - около 25%. Версия 5.0 обогнала 4.4 по популярности только весной 2016 г., так что на момент своего предполагаемого запуска SpyDealer атаковал наиболее распространенные версии мобильной ОС.

Таким образом, из примерно 2 млрд работающих в мире Android-устройств, под ударом SpyDealer находятся около 500 млн.

SpyDealer может собирать довольно значительное количество данных и на версиях от пятой и выше, но реализованные в них защитные механизмы препятствуют выполнению функций, требующих повышенных привилегий.

Разработка троянца, судя по всему, активно продолжается, так что нельзя исключать, что пользователи коммуникационных приложений под более новыми версиями Android скоро также могут оказаться под угрозой.