Эксперты Skycure проанализировали шпионскую Android-программу Exaspy, замеченную в атаках на корпоративных пользователей руководящего звена.
Как оказалось, этот мобильный зловред предлагается онлайн как сервис, с обслуживанием под ключ за 15 долларов в месяц. Анализ показал, что Exaspy способен перехватывать почти все коммуникации на смартфоне, в том числе звонки, текстовые сообщения, сессии Skype, фотографии и прочее.
Новый шпион был идентифицирован в сентябре, когда один из клиентов Skycure обнаружил на смартфоне своего сотрудника поддельное приложение, именующее себя Google Services и облеченное привилегиями администратора в полном объеме. По свидетельству Элиши Эшеда (Elisha Eshed), исследователя из Skycure, жертва заражения занимает высокий пост в транснациональной технологической компании.
Согласно результатам анализа, Exaspy совместим лишь с Android-телефонами, причем для его установки требуется физический доступ к устройству. После инсталляции зловред прежде всего пытается спрятаться: выдает себя за некую программу Google Services, отключает свой основной компонент, чтобы не отображаться на панели быстрого запуска, и работает в фоновом режиме.
«Приложение именуется Google Services и использует имя пакета com.android.protect, – пишет Эшед в блоге Skycure. – Оно явно маскируется под Google Play Services». Исследователь также отметил, что в настоящее время Exaspy не детектируется большинством антивирусных сканеров для мобильных устройств.
После инсталляции Exaspy запрашивает у жертвы права администратора и начинает собирать информацию, интересующую его хозяев: SMS, MMS, IM- и email-сообщения, звонки, фото, снимки экрана, контакты, календарные записи, историю браузера и т.п. Кроме того, используя C&C-сервер зловреда, операторы могут мониторить локальные файлы и осуществлять их передачу, а также «выполнять шелл-команды или создать обратный шелл, чтобы повысить привилегии вредоносного приложения с помощью эксплойтов, не включенных в базовый пакет».
«Exaspy не прячется в дарквебе, однако это все же шпионское ПО стороннего производства, используемое в неведомом количестве, – говорит Эшед. – Нет никакой уверенности, что этой компании можно доверять, да это и не важно, раз она собирает информацию по заказу клиентов».
Согласно Skycure, характерными особенностями Exaspy являются наличие физического доступа к устройству для инсталляции, работа под правами администратора, лицензированная активация и установка в виде системного пакета, что затрудняет деинсталляцию. Замечено также, что зловред связывается с серверами в облаке Google, а загрузки производит с вшитого в код URL – hxxp://www[.]exaspy[.]com.
«Шпионские приложения для Android и iOS существуют издавна, – пишет Эшед. – Тем не менее, несколько резонансных случаев обозначили тревожный тренд: сложность и повсеместность атак на высокопоставленные цели».
В качестве мер предосторожности Skycure рекомендует защитить доступ к устройству PIN-кодом или дактилоскопической аутентификацией, отключить отладку по USB, регулярно проверять список Device Administrators на Android, а также отключить компоненты, которые не вызывают доверия.
