1 апреля исследователи в области безопасности обнаружили новое шпионское ПО, заражающее устройства под управлением OC Android. После установки это вредоносное ПО может скрываться на устройстве, собирая личную информацию пользователя, а также зарабатывая деньги довольно своеобразным способом.
Вредоносное ПО, маскирующееся под «Диспетчер процессов» на Android-устройствах, отображается в виде значка в форме шестеренки, похожего на стандартный значок настроек Android. При запуске пользователю показывается предупреждение о разрешениях для приложения: блокировку экрана, шифрование хранилища и отключение камер. После того как пользователь принимает их, значок скрывается, а приложение начинает работать в фоновом режиме. Однако это не весь объем разрешений, которые получает приложение. Ниже можно увидеть полный список:
Исследователи Lab52 обнаружили, что вредоносное ПО сначала создает канал уведомлений для «Службы уровня заряда батареи», а затем намеревается настроить устройство с правами администратора. После этого приложение начинает красть информацию с устройства и добавлять ее в файл JSON. Приложение собирает телефонные звонки, контакты, все файлы устройств, местоположение, аудиозаписи, текстовые сообщения и другие данные, которые после сбора отправляются на командно-контрольный сервер, идентифицированный как Turla.
Помимо этого, вирус пытался также загрузить приложение под названием Roz Dhan, используя сокращенную ссылку Google. Хотя законность этого приложения сомнительна, похоже, что вредоносное ПО зарабатывает с помощью него деньги. Способ довольно необычный: Roz Dhan имеет реферальную систему, которая, вероятно, работает, когда кто-то загружает приложение по специальной реферальной ссылке.
В целом, это интересная разработка, но она не особенно удивительна, учитывая, что Turla известна использованием самодельных вредоносных программ для своих операций, как сообщает MITRE. Тем не менее команда Lab52 не считает данное вредоносное ПО особо опасным.