Эксперты по кибербезопасности компании Lookout обвинили хакерскую группировку Gamaredon в распространении вредоносного шпионского ПО BoneSpy и PlainGnome для Android. Об этом сообщает Anti-Malware.
Оба выявленных трояна маскируются под легитимные приложения, такие как индикаторы заряда батареи, фотоальбомы, Telegram и сейфы Samsung Knox. Отмечается, что признаков их распространения через Google Play не обнаружено.
Анализ образцов показал, что, хотя функционально вредоносы схожи, их кодовая база различна. BoneSpy основан на проекте Droid-Watcher и функционирует как автономное приложение, в то время как PlainGnome использует кастомный код и представляет собой дроппер (ПО для установки вредоносных программ без ведома пользователя) с целевой полезной нагрузкой. Однако для работы PlainGnome требуется разрешение на установку других приложений.
Функционал обоих троянов включает попытки получения root-доступа, отслеживание местоположения, сбор информации об устройстве и поставщике сотовой связи, сбор пользовательских данных (СМС, уведомления, контакты, история браузера, журнал звонков), запись с микрофона, создание фото с камеры и скриншотов.
По данным загрузок на VirusTotal, от троянов в основном страдают жители Казахстана, Узбекистана, Киргизии и Таджикистана. Образцы, поданные на проверку из этих стран, имели русскоязычные названия, такие как «Личный.apk», «Альбом.apk», «Фотоальбом.apk» и «galareya.apk».
Ранее россиянам рассказали о новой уловке мошенников с уведомлениями о посылках.