Хотя Android — гораздо более безопасная операционная система, чем многие думают, вредоносное ПО и шпионские программы все же могут появляться время от времени. Недавно фирма по безопасности обнаружила тревожный экземпляр шпионского ПО для Android, который маскируется под системное обновление.
Фирма безопасности Zimperium сообщила на прошлой неделе о новом шпионском ПО для Android, которое может красть данные без немедленного ведома пользователя, даже скрывая значок приложения из меню приложений и ограничивая объем передаваемых данных.
Шпионское ПО, которому не требуется root-доступ, маскируется под обновление системы Android, чтобы обмануть пользователей, заставив их поверить, что устройство только проверяет наличие системного обновления, а не крадет их данные. Появляется уведомление «Идет поиск обновления…», и используется даже значок Google.
После установки и активации троян удаленного доступа (RAT) может получать и выполнять команды на устройстве для захвата и кражи данных. К таким действиям относятся:
- Кража сообщений в мессенджерах;
- Кража файлов баз данных мессенджеров (при наличии root-доступа);
- Просмотр закладок и истории поиска в стандартном браузере;
- Просмотр закладок и истории поиска в Google Chrome, Mozilla Firefox и Samsung Internet Browser;
- Поиск файлов с определенными расширениями (включая .pdf, .doc, .docx, .xls, .xlsx);
- Просмотр данных буфера обмена;
- Просмотр содержимого уведомлений;
- Запись аудио;
- Запись телефонных звонков;
- Периодический съем фотографий (с помощью фронтальной или основной камеры);
- Список установленных приложений;
- Кража изображений и видео;
- Отслеживание местоположения по GPS;
- Кража SMS-сообщений;
- Кража контактов телефона;
- Кража журналов вызовов;
- Эксфильтрация информации об устройстве (например, установленные приложения, название устройства, статистика хранилища); и
- Сокрытие своего присутствия путем скрытия значка из меню/списка приложений устройства.
Примечательно, что такие приложения, как WhatsApp, уязвимы для этого шпионского ПО при наличии root-доступа на устройстве. Это невозможно для шпионского ПО на более новых версиях Android, но устаревшие версии могут быть уязвимы для самостоятельного получения устройством root-доступа. Это хороший пример того, почему основные обновления Android так важны для телефонов.
Чтобы лучше предотвратить обнаружение шпионского ПО пользователями, оно захватывает и загружает только ограниченные наборы данных, чтобы избежать срабатывания предупреждений о трафике данных. Например, вместо отправки изображений полного размера шпионское ПО захватывает только миниатюры, которые значительно меньше по размеру файла.
Google, отвечая на запрос ArsTechnica, не предоставила полного заявления по поводу шпионского ПО, но отметила, что оно никогда не было доступно через Google Play Store. Это означает, что, к счастью, подавляющее большинство пользователей Android, вероятно, никогда не сталкивалось с этим шпионским ПО.