Експерти Palo Alto Networks виявили нову троянську програму для Android, здатну красти особисті дані з популярних месенджерів і комунікаційних додатків. Більш того, виявлений троянець здатний перехоплювати телефонні дзвінки. Троян загрожує близько 500 млн Android-пристроїв.
Вільну роботу троянець забезпечує за допомогою експлойтів з комерційного додатка Baidu Easy Root. Після встановлення шкідливий додаток реєструє в системі два програмних компоненти. Вони стежать за завантаженням пристрою і статусом бездротового з’єднання. Під час першого запуску троянець зчитує дані налаштувань з локального файлу readme.txt – це IP-адреса командних серверів, а також функції, які дозволено виконувати при підключенні до стільникових мереж та Wi-Fi.
SpyDealer може отримувати інструкції від командного сервера прямо за допомогою SMS-повідомлень. Він також створює TCP-сервер на зараженому пристрої і «слухає» порт 39568. У певних умовах він може встановлювати активні з’єднання через протоколи UDP або TCP.
Усього троянець може виконувати понад півсотні різних команд. Як зазначають дослідники, троянець здатний красти дані з популярних месенджерів WeChat, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo. Він також краде інформацію з програми Facebook, браузера Android, браузерів Firefox і Oupeng, поштових клієнтів QQ Mail, NetEase Mail, Taobao і Baidu Net Disk.
Проникнувши на пристрій, він збирає і переправляє на контролюючі сервери всі доступні особисті дані, зокрема, номер телефону, дані IMEI, IMSI, повідомлення SMS і MMS, список контактів, історію телефонних дзвінків, географічне розташування та інформацію про поточні з’єднання Wi-Fi. У деяких випадках він може приймати телефонні дзвінки з певного номеру, записувати розмови, робити скриншоти і знімки за допомогою передньої і задньої камер.
Експерти Palo Alto відзначають, що шкідливий додаток не поширюється через офіційний магазин Google Play Store. За їхніми словами, деякі користувачі в Китаї заразилися через скомпрометовані WiFi-з’єднання. Такі можуть зустрічатися в кафе, готелях та інших публічних місцях.
SpyDealer найбільш ефективний тільки на пристроях під управлінням Android 2.2.x-4.4.x. Останнє оновлення до версій 4.4.х датоване 2013 роком, а вже наступного року вийшла п’ята версія Android. Однак експерти кажуть, що поширення нових операційних систем відбувається відчутно повільніше, ніж їхній випуск. У червні 2017 року частка версій до 4.4.х включно вельми висока – близько 25%. Версія 5.0 обігнала 4.4 за популярністю тільки навесні 2016 року. Тобто з приблизно 2 млрд Android-пристроїв, які працюють у світі, під ударом SpyDealer знаходяться близько 500 млн.
Фахівці також кажуть, що троянець продовжують удосконалювати. Тому не можна виключати, що користувачі новіших версій Android ненадовго залишатимуться в безпеці.
Удалите все мессенджеры и спите спокойно.