Исследователи ИТ-безопасности из Zimperium обнаружили вредоносное ПО для Android, способное красть конфиденциальные данные с зараженных устройств и передавать их на серверы, контролируемые злоумышленниками.
Вредоносная программа замаскирована в приложении под названием «Обновление системы», которое необходимо загрузить из стороннего магазина. Это троян удаленного доступа, который получает и выполняет команды с сервера C&C и предлагает многофункциональную шпионскую платформу.
Эта недавно обнаруженная вредоносная программа настолько мощна, что может полностью контролировать зараженное устройство и красть все типы данных. После того, как пользователь устанавливает вредоносное приложение, оно незаметно скрывает и передает данные на серверы, контролируемые злоумышленником.
По словам исследователей Zimperium, вредоносная программа взаимодействует с сервером Firebase злоумышленников, через который операторы вредоносной программы удаленно управляют устройством.
Шпионское ПО может украсть различные конфиденциальные данные, в том числе:
Вредоносная программа уклоняется от обнаружения жертвой за счет сокращения потребляемых ею сетевых данных. Она достигает этого, загружая эскизы на серверы своих операторов вместо запуска полного изображения. Она также может захватывать самые последние данные о местоположении и изображения.
По словам генерального директора Zimperium Шридхара Миттала, эта вредоносная операция может быть частью целевой кампании и является самой сложной цепочкой атак, которую Mittal за последнее время наблюдал.
«Мы обнаружили, что это изощренная кампания шпионского ПО со сложными возможностями. Мы также подтвердили , что приложения не было и никогда не будет в Google Play», - сказал Азим Ясвант из Zimperium в своем блоге.