«Доктор Веб»: за иранскими пользователями шпионит Android-троянец, управляемый через Telegram
19 июнь 2017 16:35 #58177
от ICT
ICT создал тему: «Доктор Веб»: за иранскими пользователями шпионит Android-троянец, управляемый через Telegram
Специалисты «Доктор Веб» обнаружили Android-троянца, которым вирусописатели управляют с использованием протокола Telegram. Эта вредоносная программа крадет конфиденциальную информацию и выполняет команды злоумышленников. Троянец, получивший имя Android.Spy.377.origin, представляет собой утилиту удаленного администрирования (Remote Administation Tool, или RAT), которая распространяется под видом безобидных приложений и атакует иранских пользователей. Она может устанавливаться на смартфоны и планшеты как программа с именем «اینستا پلاس» («Insta Plus»), «پروفایل چکر» («Profile Checker») и «Cleaner Pro». При запуске троянец предлагает владельцу мобильного устройства проверить, насколько тот популярен среди других пользователей Telegram, для чего просит указать персональный идентификатор. После того как жертва вводит любую информацию в соответствующую форму, Android.Spy.377.origin показывает «количество посетителей» ее профиля. Однако в действительности никакой проверки троянец не выполняет. Он лишь генерирует случайное число, которое и выдает за правдивый результат. Эта функция призвана снять подозрение с вредоносной программы и создать впечатление того, что она не представляет опасности. Через некоторое время после запуска Android.Spy.377.origin удаляет свой значок из списка приложений в меню главного экрана устройства и закрывает свое окно, пытаясь скрыть присутствие в системе. Android.Spy.377.origin – классическая программа-шпион, способная удаленно выполнять команды злоумышленников. Главное отличие этого вредоносного приложения от других Android-троянцев заключается в том, что для его управления киберпреступники используют протокол обмена сообщениями онлайн-мессенджера Telegram. Это первый известный вирусным аналитикам «Доктор Веб» троянец для ОС Android, в котором реализована такая функция. После удаления значка программы Android.Spy.377.origin копирует контакты из телефонной книги, входящие и исходящие СМС-сообщения, а также сведения об учетной записи Google владельца мобильного устройства. Затем он сохраняет эти данные в текстовые файлы в своем рабочем каталоге. Кроме того, троянец делает фотоснимок при помощи фронтальной камеры, чтобы запечатлеть лицо пользователя. Далее шпион загружает созданную фотографию и файлы с украденной информацией на управляющий сервер и отправляет Telegram-боту киберпреступников сигнал об успешном заражении устройства. После кражи конфиденциальной информации Android.Spy.377.origin вновь подключается к боту и ожидает от него сообщений, в которых будут содержаться управляющие команды. Троянец может получать директивы call – выполнить телефонный звонок;, sendmsg – отправить СМС; getapps – передать на сервер информацию об установленных приложениях; getfiles – передать на сервер информацию обо всех доступных на устройстве файлах; getloc – отправить на сервер информацию о местоположении устройства; upload – загрузить на сервер указанный в команде файл, который хранится на устройстве; removeA – удалить с устройства указанный в команде файл; removeB – удалить группу файлов; lstmsg – передать на сервер файл с информацией обо всех отправленных и полученных СМС, включая номера отправителей и получателей, а также содержимое сообщений. При выполнении каждой команды вредоносная программа информирует об этом Telegram-бота вирусописателей. Помимо сбора конфиденциальных данных по команде киберпреступников Android.Spy.377.origin самостоятельно отслеживает все входящие и исходящие СМС, а также координаты устройства. При поступлении или отправке новых сообщений и изменении местоположения зараженного смартфона или планшета троянец передает эту информацию Telegram-боту злоумышленников. Специалисты компании «Доктор Веб» предупреждают, что вирусописатели очень часто распространяют вредоносные приложения под видом безобидных программ. Для защиты от Android-троянцев следует устанавливать ПО только от известных разработчиков и загружать его из надежных источников, таких как каталог Google Play. Все известные версии троянца Android.Spy.377.origin детектируются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей этот шпион опасности не представляет.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
iOS шпионит за пользователями больше, чем Android | 20.48 | Вторник, 25 октября 2016 |
Сверхпопулярная клавиатура для Android шпионит за пользователями | 20.25 | Пятница, 22 сентября 2017 |
Очередной Android-троян шпионит за китайскими пользователями | 20.04 | Вторник, 25 августа 2015 |
«Доктор Веб»: троянец Android.BankBot.149.origin стал оружием киберпреступников | 19.11 | Вторник, 20 марта 2018 |
«Доктор Веб»: троянец на Android-устройствах заражает приложения и скачивает вредоносные модули | 18.91 | Четверг, 27 июля 2017 |
Facebook из приложений шпионит за пользователями, часть которых несовершеннолетние | 15.75 | Вторник, 19 марта 2019 |
Обнаруженный «Доктор Веб» троянец заражает POS-терминалы | 15.57 | Четверг, 04 августа 2016 |
«Доктор Веб»: новый троянец распространяется на сайте YouTube | 15.4 | Пятница, 23 марта 2018 |
«Доктор Веб»: троянец BackDoor.Dande найден в инсталляторе ПО ePrica | 15.24 | Понедельник, 24 июля 2017 |
«Доктор Веб»: троянец-майнер загружается вместо обновления программы | 15.24 | Понедельник, 09 июля 2018 |