Исследователи из Cisco Talos обнаружили новую любопытную троянскую программу для Android, которая обладает модульной структурой. В настоящее время вирус Gplayed пока еще, по-видимому, «обкатывается» создателями, но уже версия, доступная на стадии тестирования, показывает, что в будущем троянец способен превратиться в большую угрозу.
Вирус нарекли GPlayed, так как он в качестве маскировки выдавал себя за клиент Google Play: вплоть до того, что использовал схожую (но не идентичную) иконку и назывался Google Play Marketplace. При установке троян, рассчитывая на невнимательность пользователя, запрашивает привилегии администратора и разрешение на доступ к настройкам.
Как сообщают в Cisco, вредоносная программа написана на .NET с использованием инструментов разработки Xamarin. Таким образом, после ее полноценного развертывания на системе, удаленный хакер может добавлять функции, удаленно загружая плагины, скрипты или новый NET-код, который компилируется на месте и запускается на исполнение.
GPlayed, со своей стороны, самостоятельно подключается к командному серверу и отсылает на него практически исчерпывающую информацию о зараженном устройстве, такую как IMEI, версия Android, модель телефона, мобильный номер, код страны, IMSI. Он также запускает таймеры для различных задач — отправки ping-запросов на C&C-сервер, включения Wi-Fi, регистрации на C&C, проверки статуса зараженного устройства, отображения запроса на расширение прав.
Функциональные возможности GPlayed богаты и разнообразны, Cisco приводит следующий список:
1) кража SMS и списка контактов из адресной книги;
2) самостоятельное совершение звонков и отправка SMS и USSD-сообщений (в том числе за которые может взиматься дополнительная плата);
3) запуск любых приложений (вы ведь уже дали программе статус администратора!);
4) уничтожение информации, добавление и удаление веб-инжектов (если хакер думает использовать троянца для банкинга);
5) кража платежных данных пользователя;
6) установка пароля блокировки (вероятно, для вымогательства?)
Внедрение JavaScript-кода в открываемые жертвой страницы позволяет оператору зловреда похищать куки и собирать информацию, вводимую в веб-формы. Сами же платежные данные GPlayed пытается получить достаточно неуклюжим образом, открывая в WebView поддельную страницу Google Payments с предложением добавить метод оплаты — банковскую карту. Собранные таким образом данные проходят проверку онлайн, прежде чем попасть на C&C-сервер.
«Это полноценный троян с функциями банкера и шпиона. Это значит, что он способен выполнять любые действия, от сбора банковских данных до отслеживания местоположения устройства», — Cisco Talos
