Эксперты Palo Alto Networks обнаружили новую троянскую программу для Android, способную красть личные данные из популярных мессенджеров и коммуникационных приложений. Более того, обнаруженный троянец способен перехватывать телефонные звонки. Троян угрожает около 500 млн Android-устройств.
Свободную работу троянец обеспечивает с помощью эксплойтов из коммерческого приложения Baidu Easy Root. После установки вредоносное приложение регистрирует в системе два программных компонента. Они следят за загрузкой устройства и статусом беспроводного соединения. При первом запуске троянец считывает данные из локального файла настроек readme.txt – это IP-адреса командных серверов, а также функции, которые разрешено выполнять при подключении к сотовым сетям и Wi-Fi.
SpyDealer может получать инструкции от командного сервера прямо с помощью SMS-сообщений. Он также создает TCP-сервер на зараженном устройстве и «слушает» порт 39568. В определенных условиях он может устанавливать активные соединения через протоколы UDP или TCP.
Всего троянец может выполнять более полусотни различных команд. Как отмечают исследователи, троянец способен воровать данные из популярных мессенджеров WeChat, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo. Он также ворует информацию из приложения Facebook, браузера Android, браузеров Firefox и Oupeng, почтовых клиентов QQ Mail, NetEase Mail, Taobao и Baidu Net Disk.
Проникнув на устройство, он собирает и переправляет на контролирующие серверы все доступные личные данные, в том числе номер телефона, сведения IMEI, IMSI, сообщения SMS и MMS, список контактов, историю звонков, географическое расположение и информацию о текущих соединениях Wi-Fi. В некоторых случаях он может принимать телефонные звонки с определенного номера, записывать разговоры, делать скриншоты и снимки с помощью передней и задней камер.
Эксперты Palo Alto отмечают, что вредоносное приложение не распространяется через официальный магазин Google Play Store. По их словам, некоторые пользователи в Китае заразились через скомпрометированные WiFi-соединения. Такие могут встречаться в кафе, гостиницах и других публичных местах.
SpyDealer наиболее эффективный только на устройствах под управлением Android 2.2.x-4.4.x. Последнее обновление до версии 4.4.х датировано 2013 г, а уже в следующем году вышла пятая версия Android. Однако эксперты говорят, что распространение новых операционных систем происходит ощутимо медленнее, чем их выпуск. В июне 2017 года доля версий до 4.4.х включительно весьма высокая – около 25%. Версия 5.0 обогнала 4.4 по популярности только весной 2016 года. То есть из примерно 2 млрд работающих в мире Android-устройств под ударом SpyDealer находятся около 500 млн.
Специалисты также говорят, что троянец продолжают совершенствовать. Поэтому нельзя исключать, что пользователи более поздних версий Android ненадолго будут в безопасности.