Эксперты Palo Alto Networks обнаружили новую угрозу, под которой оказалось почти полмиллиарда смартфонов на Andriod. Троянская программа SpyDealer ворует личные данные из самых разных мессенджеров, включая самые популярные, а также может записывать телефонные звонки, перехватывать SMS и делать снимки с камеры устройства.
Как работает троян?
Эксперты Palo Alto сообщают, что вредоносная программа распространяется не через Google Play Store, а через программы GoogleService и GoogleUpdate, а также скомпрометированные Wi-Fi-соединения, которые могут встречаться в самых разных публичных местах.
После установки SpyDealer начинает отслеживать загрузки на устройстве, а также статус беспроводного соединения. При этом SpyDealer может получать команды от удаленного сервера злоумышленников прямо с помощью SMS-сообщений — всего более полусотни различных команд. Подчиняясь им, троян собирает и передает на серверы все доступные личные данные, в том числе номер телефона, данные IMEI, IMSI, сообщения SMS и MMS, список контактов, историю телефонных звонков, географическое местоположение и информацию о текущих соединениях Wi-Fi. Для перехвата сообщений SpyDealer использует штатную функцию Android AccessibilityService.
Кроме того, троян крадет данные из популярных мессенджеров WeChat, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo, из приложения Facebook, предустановленного браузера Android, браузеров Firefox и Oupeng, почтовых клиентов QQ Mail, NetEase Mail, Taobao и Baidu Net Disk. Если потребуется, он может принимать телефонные звонки с определенного номера, записывать разговоры, делать скриншоты и снимки с помощью обеих камер смартфона. Таким образом, троян может считаться универсальным супершпионом.
Кто под ударом?
На данный момент больше других от трояна пострадали пользователи из Китая: он атакует «местные» коммуникационные приложения, и, кроме того, большинство его командных серверов располагаются именно в Китае (хотя, они есть и в США).
Больше всего вреда троян способен нанести устройствам под управлением Android 2.2.x — 4.4.x, в более поздних версиях ОС многие из используемых им уязвимостей закрыли. Впрочем, SpyDealer может собирать довольно значительное количество данных и на версиях от пятой и выше.
Так или иначе, доля устройств с устаревшими версиями Andriod по состоянию на июнь 2017 г. составляет около 25%. Таким образом, из примерно двух миллиардов Android-устройств, которые сейчас работают по всему миру, под ударом SpyDealer находится примерно пятьсот миллионов. Эксперты уверены, что разработка трояна активно продолжается, так что вскоре более новые версии Android могут также оказаться под угрозой.