Цивилизация
ИБ-компания Zimperium сообщила об обнаружении нового опасного вируса, обладающего широким функционалом в сфере кражи персональных данных и нарушения приватности пользователей, передает портал Ars Technica. Этот троян заражает систему, находит в ней конфиденциальную информацию и перенаправляет на сервера, контролируемые своими операторами.
Вирус маскируется под системное обновление, которое необходимо скачать из некоего источника (не официального магазина Google Play).
После того, как зловред проникает в смартфон, он дает возможность злоумышленникам красть сообщения из мессенджеров, получать историю браузера и закладки, выискивать файлы с определенными расширениями (включая документы Word и Excel), записывать аудио через микрофон, а также звонки, снимать фото и видео, похищать фото и видео, а также список контактов телефонной книги, отслеживать GPS-локацию и вместе с этим скрывать свое присутствие на устройстве.
В Zimperium заявили о том, что наиболее уязвимым приложением к атакам этого вируса является популярный мессенджер WhatsApp, которым пользуются миллиарды людей по всему миру.
«Как только этот троянец запускается, он сразу же требует у пользователя права доступа к Accessibility Service (служба поддержки специальных возможностей в Android), после этого зловред сможет отслеживать активность пользователя в любых приложениях, в том числе социальных сетях и мессенджерах, — поясняет Виктор Чебышев, исследователь мобильных угроз в «Лаборатории Касперского». — Для ретроспективного доступа к истории сообщений в социальных сетях и мессенджерах троянец проверяет, доступны ли ему права суперпользователя (root-доступ) на устройстве.
Если такой доступ на устройстве есть, то троянец «вытягивает» истории переписок.
Любой другой доступ к ценным данным этот троянец может получить, самостоятельно запросив разрешение у системы, а затем самостоятельно его себе выдать. Это может быть доступ к координатам, истории звонков, микрофону и камере».
Этот троян получает доступ ко всей информации, обрабатываемой на устройстве, и в тайне от пользователя отправляет ее на сервер хакера, поясняет Дмитрий Бондарь, директор Центра компетенций управления доступом Solar inRights компании «Ростелеком-Солар».
«Это могут быть контакты, документы, текстовые сообщения, медиафайлы и др. Вместе с этим злоумышленник получает доступ к экрану, геолокации, камере и микрофону устройства жертвы, а также может выполнять любые команды на устройстве удаленно. При желании он может получить полный контроль над ним. Таким образом, злоумышленнику открываются значительные возможности для монетизации атаки благодаря контенту, которым можно шантажировать пользователя, краже учётных данных для входа в мобильный банк и т.д.», — сообщил эксперт.
Существенный риск нового вируса состоит в том, что приложение является уязвимостью «нулевого дня», т.е. до выхода сигнатур антивируса оно не определяется вредоносным, даже при наличии мобильной антивирусной защиты, заявил директор департамента информационной безопасности компании Oberon Евгений Суханов.
«Пользователям важно помнить, что установка системных обновлений должна осуществляться только из официального источника, без использования сторонних магазинов приложений», — добавил собеседник «Газеты.Ru».
Вредоносные программы для обновления системы довольно распространены, и мы уже отмечали подобные функции в прошлом, рассказывает исследователь угроз в Avast Якуб Вавра.
«Главный вопрос — это способ доставки. В данном случае пользователь должен загрузить приложение на свой телефон. Бдительность пользователей имеет большое значение для предотвращения распространения этого вредоносного ПО. Вот почему так важно при загрузке приложений всегда загружать их с официальных веб-сайтов и магазинов приложений, а также проверять разработчика и отзывы о загружаемом приложении. Впервые Avast обнаружила эту угрозу в феврале», — сообщил исследователь.
