 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
25 апреля, четверг, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Новый модульный зловред пока находится на стадии тестирования, но способен превратиться в серьезную угрозу.
Исследователи из Cisco обнаружили новую троянскую программу для Android, обладающую модульной структурой. Анализ показал, что зловред пока находится на стадии тестирования, но способен превратиться в серьезную угрозу.
Подвергнутый испытаниям образец GPlayed, как его нарекли в Cisco, выдавал себя за клиент Google Play: он использовал схожую иконку и именовался Google Play Marketplace. При установке троян пытается получить привилегии администратора и запрашивает разрешение на доступ к настройкам.
Новая вредоносная программа написана на .NET с использованием инструментов разработки Xamarin. После ее развертывания оператор имеет возможность скорректировать функциональность, удаленно загружая плагины, скрипты или новый NET-код, который на месте компилируется и запускается на исполнение.
После активации GPlayed подключается к командному серверу и отсылает на него информацию о зараженном устройстве, такую как IMEI, версия Android, модель телефона, его номер, код страны, IMSI. Он также запускает таймеры для различных задач — отправки ping-запросов на C&C-сервер, включения WiFi, регистрации на C&C, проверки статуса зараженного устройства, отображения запроса на расширение прав.
Функциональные возможности GPlayed богаты и разнообразны; кроме кражи SMS и списка контактов, совершения звонков и отправки SMS на заданные номера, он умеет отсылать USSD-сообщения, запускать приложения, стирать информацию, добавлять и удалять веб-инжекты, красть платежные данные, устанавливать пароль блокировки.
Внедрение JavaScript-кода в открываемые жертвой страницы позволяет оператору зловреда красть куки и собирать информацию, вводимую в веб-формы. Платежные данные GPlayed пытается получить, открывая в WebView поддельную страницу Google Payments с предложением добавить метод оплаты — банковскую карту. Собранные таким образом данные проходят проверку онлайн, прежде чем попасть на C&C-сервер.
«Это полноценный троян с функциями банкера и шпиона, — констатируют исследователи. — Это значит, что он способен выполнять любые действия, от сбора банковских данных до отслеживания местоположения устройства».
Проанализированный в Cisco образец GPlayed ориентирован на русскоязычные цели, так как большинство страниц, предназначенных для взаимодействия с жертвой, оформлены на русском языке. Однако исследователи отметили, что в силу особенностей проекта сменить язык в данном случае очень легко — не сложнее, чем «профориентацию» трояна.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
