Новый троян напал на whatsapp, skype, viber и telegram. под угрозой полмиллиарда смартфонов

      Комментарии к записи Новый троян напал на whatsapp, skype, viber и telegram. под угрозой полмиллиарда смартфонов отключены

«Желаю все знать»

Специалисты Palo Alto Networks распознали новую вредоносную программу для Android, талантливую красть индивидуальные эти из коммуникационных приложений и телефонных звонков.

Троянец способен снабжать для зараженных им приложений административные привилегии посредством эксплойтов из коммерческого приложения Baidu Easy Root, и этим снабжает себе возможность сбора данных и защищает себя от попыток удаления.

По окончании установки вредонос регистрирует в совокупности два приемника, каковые, со своей стороны, регистрируют загрузки устройства и статус беспроводного соединения. При первом запуске троянец считывает эти настроек из локального файла readme.txt — это IP-адрес командных серверов, и функции, каковые дано выполнять при подключении к сотовым сетям и/либо к Wi-Fi.

Потому, что принимающая функция имеет более большой приоритет, нежели применяемое по умолчанию коммуникационное приложение, SpyDealer может приобретать команды от командного сервера прямо посредством SMS-сообщений. Он кроме этого формирует TCP-сервер на скомпрометированном устройстве и «слушает» порт 39568. В определенных условиях он может устанавливать активные соединения через UDP либо TCP.

Новый троян напал на whatsapp, skype, viber и telegram. под угрозой полмиллиарда смартфонов

Шпионский троян SpyDealer перехватывает SMS, звонки и собирает индивидуальные эти пользователей.

Троян угрожает около 500 млн Android-устройств

Всего троянец может делать более полусотни разных команд. В частности, как отмечают исследователи, троянец способен воровать эти из популярных мессенджеров WeChat, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo, из приложения, Facebook, предустановленного браузера Android, браузеров Firefox и Oupeng, почтовых клиентов QQ Mail, NetEase Mail, Taobao и Baidu Net Disk.

Для перехвата отдельных сообщений вредонос применяет штатную функцию Android AccessibilityService.

Джентльменский комплект шпиона

Пробравшись на устройство, он собирает и переправляет на осуществляющие контроль серверы все дешёвые индивидуальные эти, а также номер телефона, эти IMEI, IMSI, сообщения SMS и MMS, перечень контактов, историю телефонных звонков, географическое расположение и данные о текущих соединениях Wi-Fi.

В некоторых случаях он может принимать телефонные звонки с определенного номера, записывать беседы, делать снимки и скриншоты посредством тыловой камер и передней.

— Дружно это выглядит как «джентльменский комплект» шпионских инструментов, причем, вероятнее, разрабатывавшийся для очень избирательного применения, впредь до слежки за конкретными лицами, — вычисляет Ксения Шилак, директор по продажам компании SEC Consult. — На это, например, может показывать то, что часть жертв имела возможность заразиться через скомпрометированные беспроводные сети.

Вправду, специалисты Palo Alto отмечают, что вредонос не распространяется через приложения в официальном магазине Гугл Play Store (но ничего не могут сказать об других источниках приложений) и что как минимум кое-какие пользователи в Китае были заражены через скомпрометированные Wi-Fi-соединения, каковые смогут видеться как в публичных кафе, так и в отелях любой «звездочности».

То, что создатели троянца более всего заинтересованы как раз пользователями, располагающимися на территории Китая, показывает да и то, что он атакует коммуникационные приложения, самый распространенные в Китае, да и то, что большая часть его контрольных серверов находятся имеют китайские IP-адреса (пара штук, действительно, находятся на территории США).

Имеется и еще один значимый фактор: тогда как первый перехваченный сэмпл SpyDealer датирован 2015 г., по-настоящему действен он лишь на устройствах под управлением Android 2.2.x-4.4.x, а последнее обновление к предположениям 4.4.х датировано 2013 г. В 2015 г. актуальной была пятая версия Android, вышедшая в конце 2014 г.

Иначе, распространение новых операционных совокупностей среди пользователей происходит ощутимо медленнее, чем их выпуск, и по состоянию на июнь 2017 г. часть предположений до 4.4.х включительно высока — около 25%. Версия 5.0 обогнала 4.4 по популярности лишь весной 2016 г., так что на момент собственного предполагаемого запуска SpyDealer нападал самый распространенные предположения мобильной ОС.

Так, из приблизительно 2 млрд трудящихся в мире Android-устройств, под ударом SpyDealer находятся около 500 млн.

SpyDealer может собирать достаточно большое количество данных и на предположениях от пятой и выше, но реализованные в них защитные механизмы мешают исполнению функций, требующих повышенных привилегий.

Разработка троянца, "Наверное," деятельно длится, так что нельзя исключать, что пользователи коммуникационных приложений под более новыми предположениями Android не так долго осталось ждать также будут оказаться на грани.

Интересные записи:

Telegram похоронит Skype, WhatsApp и Viber?


Еще немного статей: