SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
9 Ноя 2016

Коммерческий Android-шпион атакует управленцев

Эксперты Skycure проанализировали шпионскую Android-программу Exaspy, замеченную в атаках на корпоративных пользователей руководящего звена.

Как оказалось, этот мобильный зловред предлагается онлайн как сервис, с обслуживанием под ключ за 15 долларов в месяц. Анализ показал, что Exaspy способен перехватывать почти все коммуникации на смартфоне, в том числе звонки, текстовые сообщения, сессии Skype, фотографии и прочее.

Новый шпион был идентифицирован в сентябре, когда один из клиентов Skycure обнаружил на смартфоне своего сотрудника поддельное приложение, именующее себя Google Services и облеченное привилегиями администратора в полном объеме. По свидетельству Элиши Эшеда (Elisha Eshed), исследователя из Skycure, жертва заражения занимает высокий пост в транснациональной технологической компании.

Согласно результатам анализа, Exaspy совместим лишь с Android-телефонами, причем для его установки требуется физический доступ к устройству. После инсталляции зловред прежде всего пытается спрятаться: выдает себя за некую программу Google Services, отключает свой основной компонент, чтобы не отображаться на панели быстрого запуска, и работает в фоновом режиме.

«Приложение именуется Google Services и использует имя пакета com.android.protect, – пишет Эшед в блоге Skycure. – Оно явно маскируется под Google Play Services». Исследователь также отметил, что в настоящее время Exaspy не детектируется большинством антивирусных сканеров для мобильных устройств.

После инсталляции Exaspy запрашивает у жертвы права администратора и начинает собирать информацию, интересующую его хозяев: SMS, MMS, IM- и email-сообщения, звонки, фото, снимки экрана, контакты, календарные записи, историю браузера и т.п. Кроме того, используя C&C-сервер зловреда, операторы могут мониторить локальные файлы и осуществлять их передачу, а также «выполнять шелл-команды или создать обратный шелл, чтобы повысить привилегии вредоносного приложения с помощью эксплойтов, не включенных в базовый пакет».

«Exaspy не прячется в дарквебе, однако это все же шпионское ПО стороннего производства, используемое в неведомом количестве, – говорит Эшед. – Нет никакой уверенности, что этой компании можно доверять, да это и не важно, раз она собирает информацию по заказу клиентов».

Согласно Skycure, характерными особенностями Exaspy являются наличие физического доступа к устройству для инсталляции, работа под правами администратора, лицензированная активация и установка в виде системного пакета, что затрудняет деинсталляцию. Замечено также, что зловред связывается с серверами в облаке Google, а загрузки производит с вшитого в код URL – hxxp://www[.]exaspy[.]com.

«Шпионские приложения для Android и iOS существуют издавна, – пишет Эшед. – Тем не менее, несколько резонансных случаев обозначили тревожный тренд: сложность и повсеместность атак на высокопоставленные цели».

В качестве мер предосторожности Skycure рекомендует защитить доступ к устройству PIN-кодом или дактилоскопической аутентификацией, отключить отладку по USB, регулярно проверять список Device Administrators на Android, а также отключить компоненты, которые не вызывают доверия.

Теги:
Android наблюдение
Источник:
Threatpost
1270
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015