Вредоносное ПО для Android "Обновление системы"

Пользователи Android столкнулись с угрозой нового сложного вредоносного ПО для Android, которое выдает себя за приложение «Обновление системы». Угроза была обнаружена недавно исследователями информационной безопасности. Согласно их результатам, вредоносное ПО «Обновление системы» демонстрирует широкий спектр угрожающих функций с некоторыми редко встречающимися функциями, хорошо отлаженной инфраструктурой Command-and-Control (C2, C&C) с различными серверами для входящей и исходящей связи, а также методы обнаружения-избегания.

Если он может проникнуть на устройство пользователя, вредоносная программа «Обновление системы» эффективно действует как RAT (троян удаленного доступа), который может собирать и извлекать данные, выполнять входящие команды и контролировать определенные функции зараженного устройства. Следует отметить, что угроза не смогла проникнуть в официальный магазин Google Play и вместо этого распространяется через сторонние платформы приложений.

Широкий набор сложных функций

Вредоносная программа «Обновление системы» демонстрирует множество угрожающих возможностей, которые позволяют злоумышленникам выполнять различные гнусные действия на скомпрометированном устройстве Android. После установки угроза инициирует обмен данными с сервером Firebase C&C. Во время первоначального обмена отправляются различные данные о зараженном устройстве, включая наличие WhatsApp в системе, заряд аккумулятора, статистику хранилища и тип подключения к Интернету. Информация вместе с токеном, полученным от службы обмена сообщениями Firebase, используется для регистрации устройства в C&C. Угроза вредоносного ПО использует Firebase C&C только для получения входящих команд, в то время как все извлеченные данные доставляются на другой C&C сервер через запросы POST.

Конкретные команды, полученные угрозой, запускают различные функции. Вредоносная программа «Обновление системы» может получить доступ к микрофону и начать запись звука или разговоров по телефону. Собранные данные будут сохранены в виде файла архива ZIP перед загрузкой на C&C сервер. Угроза беспокоит пользователя с запросами на включение служб доступности, и в случае успеха она попытается очистить беседу и сведения о сообщениях с экрана WhatsApp.

Шпионское ПО устанавливает множество прослушивателей, наблюдает и транслирует намерения, которые запускают определенные угрожающие действия, такие как сбор данных из буфера обмена, слежка за SMS, контактами, журналами вызовов, уведомлениями, местоположением GPS и т. Д. который имеет размер менее 30 МБ и считается ценным, например, с расширениями .pdf, .docx, .doc, .xlsx, .xls, .pptx и .ppt, которые будут скопированы и затем отфильтрованы на C&C сервер. Дополнительные личные данные пользователя, такие как закладки и история поиска, также будут извлечены из популярных веб-браузеров, таких как Интернет-браузер Samsung, Google Chrome и Mozilla Firefox.

Шпионское ПО очень заботится о том, чтобы собираемые данные были как можно более актуальными. Он получает данные о местоположении либо от GPS, либо от сети и обновляет их каждые 5 минут. Тот же метод используется и для любых фотографий, сделанных камерой устройства, только интервал увеличивается до 40 минут.

Множественные методы скрывают ненормальную активность

Помимо обширных возможностей RAT и шпионского ПО, вредоносная программа «Обновление системы» также оснащена множеством методов, предназначенных для того, чтобы скрыть ее от посторонних глаз. Наиболее простые из них включают в себя блокировку правильного отображения значка угрожающего приложения на вкладке ящика или в меню зараженного устройства. Любые файлы, содержащие собранную информацию, удаляются сразу же после получения успешного ответа от удаленного сервера, с которого данные удаляются. При сборе файлов, хранящихся во внешних хранилищах, которые включают в себя многочисленные изображения видео, шпионское ПО вместо этого сосредотачивается на сборе соответствующих эскизов. Этот метод позволяет угрожающей активности оставаться относительно незамеченной, особенно по сравнению с альтернативой создания массивного следа с аномальной пропускной способностью.

Если вредоносная программа «Обновление системы» получает команду от C&C сервера Firebase при выключенном экране взломанного устройства, она генерирует поддельное уведомление, чтобы ввести пользователя в заблуждение. Уведомление притворяется сгенерированным операционной системой устройства путем отображения ложного сообщения «Поиск обновлений ...».