GPlayed - опасность для сматрфонов. Или кто еще читает твои SMS и тратит твои деньги

Если вы до сих пор храните старую кнопочную Нокию, вам повезло. А если вы обладатель смартфона на операционке Andoroid - вам не повезло. И дело не в том, что Гугл следтит за вами. Точнее, теперь не только Гугл. Эксперты по информационной безопасности компании Talos выявили новый троян под ОС Andoroid, названный им GPlayed, о котором говорят как о «предвестнике новой и очень опасной эпохи» вредоносного ПО. Троян может отправлять и читать SMS-сообщения, извлекать контакты, менять на ходу командный сервер C&C, звонить на определенные номера, удалять всю информацию с устройства, блокировать устройство, устанавливать пароль для доступа к смартфону, отображать уведомления, открывать браузер и много других неприятностей.

Вредоносная программа GPlayed обладает «универсальной» функциональностью и модульной архитектурой, что делает ее втройне опасной. Эксперты опасаются, что скоро у нее появятся многочисленные подражатели. GPlayed обладает всеми функциями банковского трояна и инструментов «глубокого» кибершпионажа, но самое важное - это его способность подстраиваться под среду, в которую ему удается проникнуть.

Вредонос GPlayed выдает себя за клиент Google Play и способен подгружать плагины, производить инъекцию скриптов и даже компилировать новый исполняемый .NET-код. Такая архитектура позволяет менять функциональность троянца «на лету», без рекомпиляции и обновления на конечном устройстве. GPlayed также содержит вторую вредоносную библиотеку (eCommon.DLL), функционирующую независимот от платформы. А следовательно, троян в любой момент может стать кросс-платформенным.

Сразу после попадания в систему или ее загрузки троян обращается к контрольному серверу и принудительно активирует WiFi-соединение, даже если оно на устройстве отключено. Далее троянец регистрируется на C2-сервере и переводит на него информацию об инфицированному устройстве - в частности, сведения о модели, IMEI, номере телефона и стране, в которой он зарегистрирован. Переправляется также информация о версии Android и дополнительных функциях, которыми может обладать смартфон.

Затем он регистрирует на сервере SMS-идентификатор и, в качестве последнего шага, запрашивает у пользователя администраторские привилегии и доступ к настройкам устройства.

Экран с этим запросом почти невозможно закрыть; даже если пользователю удастся это сделать, запрос повторится через некоторое время.

Если трояну удается заставить пользователя выдать все разрешения, то вредонос через три-пять минут начнет собирать данные о платежных картах. Для начала он открывает мини-браузер WebView со страницей, стилизованной под ресурсы Google, и запрашивает данные о кредитной карте якобы для использования служб Google. Экран фактически блокирует устройство, без ввода нужной информации он не закроется.

Всю собранную таким образом информацию о платежной карте троян проверяет в онлайне и переводит на контрольный сервер.

Троян также способен регистрировать фрагменты кода на JavaScript, которые выполняются как объекты WebView. Таким образом операторы получают возможность заманивать владельца зараженного устройства на любой сайт и красть файлы cookie или подделывать поля форм, чтобы выманивать новые данные.

Интересно, что троян пытается каким-то очень сложным образом маскироваться: ресурс, с которого он раздавался, имитирует Google Play - с немного другой иконкой и названием «Google Play Market». Это может сработать, поскольку все чаще разработчики мобильных приложений пытаются распространять свои продукты в обход официальных магазинов приложений.

Да. Пожалуй, стоит вспомнить где лежит старая Нокия.

Чтобы быть вкурсе всех свежих новостей нашего сайта, подписывайтесь на наш телеграм канал https://t.me/joinchat/AAAAAEN6RYDtq2uLaMOeLQ