Полизловредный троян для Android стремится прикинуться Google Play

Опубликовано at 15:31
123 0

Исследователи из Cisco Talos обнаружили новую любопытную троянскую программу для Android, которая обладает модульной структурой. В настоящее время вирус Gplayed пока еще, по-видимому, «обкатывается» создателями, но уже версия, доступная на стадии тестирования, показывает, что в будущем троянец способен превратиться в большую угрозу.

Вирус нарекли GPlayed, так как он в качестве маскировки выдавал себя за клиент Google Play: вплоть до того, что использовал схожую (но не идентичную) иконку и назывался Google Play Marketplace. При установке троян, рассчитывая на невнимательность пользователя, запрашивает привилегии администратора и разрешение на доступ к настройкам.

Как сообщают в Cisco, вредоносная программа написана на .NET с использованием инструментов разработки Xamarin. Таким образом, после ее полноценного развертывания на системе, удаленный хакер может добавлять функции, удаленно загружая плагины, скрипты или новый NET-код, который компилируется на месте и запускается на исполнение.

GPlayed, со своей стороны, самостоятельно подключается к командному серверу и отсылает на него практически исчерпывающую информацию о зараженном устройстве, такую как IMEI, версия Android, модель телефона, мобильный номер, код страны, IMSI. Он также запускает таймеры для различных задач — отправки ping-запросов на C&C-сервер, включения Wi-Fi, регистрации на C&C, проверки статуса зараженного устройства, отображения запроса на расширение прав.

Функциональные возможности GPlayed богаты и разнообразны, Cisco приводит следующий список:

1) кража SMS и списка контактов из адресной книги;
2) самостоятельное совершение звонков и отправка SMS и USSD-сообщений (в том числе за которые может взиматься дополнительная плата);
3) запуск любых приложений (вы ведь уже дали программе статус администратора!);
4) уничтожение информации, добавление и удаление веб-инжектов (если хакер думает использовать троянца для банкинга);
5) кража платежных данных пользователя;
6) установка пароля блокировки (вероятно, для вымогательства?)

Внедрение JavaScript-кода в открываемые жертвой страницы позволяет оператору зловреда похищать куки и собирать информацию, вводимую в веб-формы. Сами же платежные данные GPlayed пытается получить достаточно неуклюжим образом, открывая в WebView поддельную страницу Google Payments с предложением добавить метод оплаты — банковскую карту. Собранные таким образом данные проходят проверку онлайн, прежде чем попасть на C&C-сервер.

«Это полноценный троян с функциями банкера и шпиона. Это значит, что он способен выполнять любые действия, от сбора банковских данных до отслеживания местоположения устройства», — Cisco Talos

Подписываемся, следим @CyberAgency

Related Post

Google запретил использовать свою сеть для обхода блокировки

Опубликовано - 19.04.2018 0
Компания Google заблокировала технологию domain-fronting, которая позволяла использовать адреса компании для прокси-соединения с запрещенными сайтами. За предыдущие три дня Роскомнадзор…

Физические датчики вашего смартфона могут нарушить конфиденциальность

Опубликовано - 26.12.2017 0
Хакеры могут угадать PIN-код вашего смартфона и разблокировать его, используя данные с физических датчиков устройства, таких как акселерометр, гироскоп и…

DDoS-2019: наблюдения и тенденции

Опубликовано - 11.02.2019 0
В сегодняшнем обзорном выпуске мы рассмотрим, во-первых, наблюдения «Лаборатории Касперского» о тенденциях DDoS в минувшем году и прогнозе на будущее,…

Добавить комментарий