12 июля 2019 года
Вредоносная программа получила имя
При запуске
В окне вредоносного приложения имеется кнопка для «проверки» обновлений графического программного интерфейса OpenGL ES. После ее нажатия троянец имитирует процесс поиска новых версий OpenGL ES, однако на самом деле никаких проверок он не выполняет и лишь вводит пользователя в заблуждение.
После того как жертва закрывает окно приложения,
Бэкдор поддерживает связь с несколькими управляющими серверами, откуда получает команды злоумышленников и куда отправляет собранные данные. Кроме того, киберпреступники могут управлять троянцем через сервис Firebase Cloud Messaging.
- передать на сервер информацию о контактах из телефонной книги;
- передать на сервер информацию об СМС-сообщениях (в исследованной версии троянца для этого нет необходимых разрешений);
- передать на сервер информацию о телефонных вызовах;
- передать на сервер информацию о местоположении устройства;
- загрузить и запустить apk- или dex-файл с использованием класса DexClassLoader;
- передать на сервер сведения об установленных программах;
- скачать и запустить исполняемый файл;
- загрузить файл с сервера;
- отправить заданный файл на сервер;
- передать на сервер информацию о файлах в заданном каталоге или о файлах на карте памяти;
- выполнить shell-команду;
- запустить активность, заданную в команде;
- загрузить и установить Android-приложение;
- показать уведомление, заданное в команде;
- запросить заданное в команде разрешение;
- передать на сервер список разрешений, предоставленных троянцу;
- не позволять устройству переходить в спящий режим в течение заданного времени.
Все передаваемые на сервер данные троянец шифрует алгоритмом AES. Каждый запрос защищается уникальным ключом, который генерируется с учетом текущего времени. Этим же ключом шифруется ответ сервера.
- автоматически, если в системе есть root-доступ (с использованием shell-команды);
- при помощи системного менеджера пакетов (только для системного ПО);
- показав стандартный системный диалог установки программ, где пользователь должен согласиться на инсталляцию.
Таким образом, этот бэкдор представляет серьезную опасность. Он не только занимается кибершпионажем, но также может использоваться для фишинга, т. к. способен показывать окна и уведомления с любым содержимым. Кроме того, он может загружать и устанавливать любые другие вредоносные приложения, а также выполнять произвольный код. Например, по команде злоумышленников
Компания «Доктор Веб» уведомила корпорацию Google о троянце, и на момент публикации этого материала он уже был удален из Google Play.
#Android, #backdoor, #Google_Play, #слежка
Ваш Android нуждается в защите.
Используйте Dr.Web
- Первый российский антивирус для Android
- Более 140 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web
13 мая 2024 года
SPEAKERMARKET — маркетплейс спикеров. Вы организатор мероприятия и вам нужен спикер? Разместите запрос, получите предложения от спикеров, выберите наиболее подходящего. Вы спикер и хотите выступать на мероприятиях? Зарегистрируйтесь на сайте, […]
The post
7 мая 2024 года
Для коррекции ошибки в таблицах Приложени... Антивирус Dr.Web
4 мая 2024 года
2 мая 2024 года
В новейшей версии 12.2.2 обновлено антивирусное ядро, которое появляется сердцем приложения так что гарантирует надежную защиту от любых типов вредного ПО, так что сбыта очень ожидаемая юзерами содействие ОС Android 1... Антивирус Dr.Web