- Цей вірус - шпигунський інструмент спрямованої дії.
- Троян загрожує близько 500 млн Android-пристроїв
- Що може робити вірус SpyDealer
- Не чекайте коли вас зламають!
- Які пристрої валиться зараження вірусом SpyDealer
11 липня чергове вірус (троян) увійшов в популярні месенджери Skype, WhatsApp, Viber і Telegram поставив під загрозу півмільярда смартфонів.
Експерти компанії Palo Alto Networks виявили нового трояна програму SpyDealer для Android, яка може перехоплювати дзвінки, SMS, робити фото з вбудованих камер і краде персональні дані про власників заражених пристроїв.
Цей вірус - шпигунський інструмент спрямованої дії.
Троянець здатний забезпечувати для заражених їм додатків адміністративні привілеї за допомогою експлойтів з комерційного додатки Baidu Easy Root, і цим забезпечує собі можливість збору даних і захищає себе від спроб видалення.
Після установки троян реєструє в системі два приймача, які, в свою чергу, реєструють завантаження пристрою і статус бездротового з'єднання. При першому запуску троянець зчитує дані налаштувань з локального файлу readme.txt - це IP-адреса командних серверів, а також функції, які дозволено виконувати при підключенні до стільникових мереж та / або до Wi-Fi.
Шпигунський троян SpyDealer перехоплює SMS, дзвінки і збирає особисті дані користувачів.
Оскільки приймаюча функція має більш високий пріоритет, ніж використовується за умовчанням комунікаційне додаток, SpyDealer може отримувати команди від командного сервера прямо за допомогою SMS-повідомлень. Він також створює TCP-сервер на скомпрометувати пристрої і «слухає» порт 39568. У певних умовах він може встановлювати активні сполуки через UDP або TCP.
Троян загрожує близько 500 млн Android-пристроїв
Всього троянець може виконувати понад півсотні різних команд. Для перехоплення окремих повідомлень троян використовує штатну функцію Android AccessibilityService.
Зокрема, троянець здатний красти дані з популярних месенджерів WeChat, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo. Зараження відбуваються:
- з встановленої програми Facebook,
- встановленого браузера Android,
- браузерів Firefox і Oupeng,
- поштових клієнтів QQ Mail, NetEase Mail, Taobao і Baidu Net Disk.
Що може робити вірус SpyDealer
- Проникнувши на пристрій, він збирає і переправляє на контролюючі сервери всі доступні особисті дані, в тому числі номер телефону, дані IMEI, IMSI, повідомлення SMS і MMS, список контактів, історію телефонних дзвінків, географічне розташування та інформацію про поточні з'єднаннях Wi-Fi.
- У деяких випадках він може приймати телефонні дзвінки з певного номера, записувати розмови, робити скріншоти і знімки за допомогою передньої і тилової камер.
- Все разом це виглядає як «джентльменський набір» шпигунських інструментів, причому, швидше за все, що розроблявся для вельми вибіркового застосування, аж до стеження за конкретними особами, - вважає Ксенія Шилак, директор з продажу компанії SEC Consult. - На це, зокрема, може вказувати те, що частина жертв могла заразитися через скомпрометовані бездротові мережі.
Експерти Palo Alto відзначають, що вірус не поширюється через додатки в офіційному магазині Google Play Store (але нічого не говорять про альтернативні джерела додатків) і що як мінімум деякі користувачі в Китаї були заражені через скомпрометовані Wi-Fi-з'єднання, які можуть зустрічатися як в публічних кафе, так і в готелях будь-якого рівня.
Не чекайте коли вас зламають!
Замовте апгрейд вашого сайту прямо зараз!
Залишити заявкуЯкі пристрої валиться зараження вірусом SpyDealer
Вірус впливає в першу чергу на смартфони старих версій, які оновлюють свою операційну систему. Так як поширення нових операційних систем серед користувачів відбувається відчутно повільніше, ніж їх випуск.
Станом на червень 2017 року частка версій до 4.4.х включно вельми висока - близько 25%. Версія 5.0 обігнала 4.4 за популярністю тільки навесні 2016 р так що на момент свого передбачуваного запуску SpyDealer атакував найбільш поширені версії мобільної ОС.
SpyDealer може збирати досить значна кількість даних і на версіях від п'ятої і вище, але реалізовані в них захисні механізми перешкоджають виконанню функцій, що вимагають підвищених привілеїв.
Таким чином, з приблизно 2 млрд працюючих у світі Android-пристроїв, під ударом SpyDealer знаходяться близько 500 млн.
Розробка троянця, судячи з усього, активно триває, так що не можна виключати, що користувачі комунікаційних додатків під новішими версіями Android скоро також можуть виявитися під загрозою.
джерело: cnews.ru
