Новое вредоносное ПО для Android выдает себя за «обновление системы», чтобы украсть ваши данные.

Исследователи ИТ-безопасности из Zimperium обнаружили вредоносное ПО для Android, способное красть конфиденциальные данные с зараженных устройств и передавать их на серверы, контролируемые злоумышленниками.

Вредоносная программа замаскирована в приложении под названием «Обновление системы», которое необходимо загрузить из стороннего магазина. Это троян удаленного доступа, который получает и выполняет команды с сервера C&C и предлагает многофункциональную шпионскую платформу.

Шпионское ПО может получить полный контроль над устройством

Эта недавно обнаруженная вредоносная программа настолько мощна, что может полностью контролировать зараженное устройство и красть все типы данных. После того, как пользователь устанавливает вредоносное приложение, оно незаметно скрывает и передает данные на серверы, контролируемые злоумышленником.

По словам исследователей Zimperium, вредоносная программа взаимодействует с сервером Firebase злоумышленников, через который операторы вредоносной программы удаленно управляют устройством.

Какие данные находятся под угрозой?

Шпионское ПО может украсть различные конфиденциальные данные, в том числе:

1. SMS сообщения
2. История поиска
3. Изображения и видео
4. Закладки браузера
5. Контактная информация
6. Местоположение устройства слежения
7. Сообщения для обмена мгновенными сообщениями
8. Запись окружающих звуков микрофона и звонки
9. Фотосъемка с задней и передней камеры устройства
10. Похищает данные из буфера обмена устройства и ищет файлы документов.

Как программа уклоняется от обнаружения?

Вредоносная программа уклоняется от обнаружения жертвой за счет сокращения потребляемых ею сетевых данных. Она достигает этого, загружая эскизы на серверы своих операторов вместо запуска полного изображения. Она также может захватывать самые последние данные о местоположении и изображения.

Может ли это быть целенаправленная кампания?

По словам генерального директора Zimperium Шридхара Миттала, эта вредоносная операция может быть частью целевой кампании и является самой сложной цепочкой атак, которую Mittal за последнее время наблюдал.

«Мы обнаружили, что это изощренная кампания шпионского ПО со сложными возможностями. Мы также подтвердили , что приложения не было и никогда не будет в Google Play», - сказал Азим Ясвант из Zimperium в своем блоге.