Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка | Правила обращения

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

Назад к списку новостей

Android-троянец шпионит за протестующими в Гонконге

3 октября 2014 года

Многие современные вредоносные программы, работающие на мобильных устройствах, предназначены для незаконного сбора информации и шпионажа за пользователями. Обнаруженный недавно очередной Android-троянец создан именно с этой целью, однако выделяется на фоне большинства подобных угроз не только заложенными в него функциями, но и тем, что атака с его использованием рассчитана на конкретную группу лиц, интересующую злоумышленников. Специалисты компании «Доктор Веб» исследовали эту вредоносную программу, получившую по нашей классификации наименование Android.SpyHK.1.origin.

Новая Android-угроза распространялась среди протестующих жителей Гонконга, выступающих за более демократичную избирательную систему. Троянец устанавливался на мобильные устройства активистов под видом приложения для координации их действий, поэтому не должен был вызвать особых подозрений у большинства своих жертв.

screen

После своего запуска Android.SpyHK.1.origin устанавливает соединение с управляющим сервером, куда загружает большой объем общей информации о зараженном устройстве (например, версию операционной системы, номер телефона, IMEI-идентификатор, аппаратные характеристики и т. п.), после чего ожидает дальнейших указаний злоумышленников. Троянец оснащен обширным функционалом и, в зависимости от поступившей команды, может выполнить следующие действия:

  • получить содержимое заданной директории (имена, размеры, даты последних изменений файлов и папок);
  • получить GPS-координаты устройства;
  • сделать запись в лог-файле;
  • отобразить на экране сообщение с заданным текстом;
  • выполнить звонок на заданный номер;
  • получить информацию об устройстве;
  • исполнить заданный shell-скрипт;
  • получить расширенный список контактов (включая имя, номер, а также email-адрес);
  • получить доступ к СМС-переписке;
  • получить историю звонков;
  • добавить определенные номера телефонов в список прослушиваемых;
  • получить текущий список прослушиваемых номеров;
  • загрузить файл с заданного веб-адреса;
  • удалить заданный файл с устройства;
  • загрузить заданный файл на управляющий сервер;
  • активировать диктофонную запись через определенное время;
  • активировать диктофонную запись с одновременной ее передачей на сокет управляющего сервера;
  • остановить диктофонную запись;
  • загрузить на управляющий сервер локальные базы встроенного почтового клиента;
  • получить историю веб-бразуера;
  • отправить на управляющий сервер информацию о хранящихся на карте памяти файлах и каталогах;
  • выполнить сразу несколько команд по сбору конфиденциальной информации и отправить ее на сервер.

Android.SpyHK.1.origin обладает рядом интересных функциональных особенностей, выделяющих его среди прочих троянцев-шпионов. В частности, для определения GPS-координат зараженных мобильных Android-устройств троянец эксплуатирует известную уязвимость системного виджета управления питанием, которая позволяет активировать некоторые функции мобильного устройства в обход глобальных системных настроек. Несмотря на то, что данная уязвимость была устранена еще в 2011 году, некоторые пользователи сообщали о ее повторном появлении в последних версиях операционной системы. Таким образом, в ряде случаев Android.SpyHK.1.origin теоретически может активировать GPS-приемник зараженного смартфона или планшета, даже если владелец устройства запретил использование этой функции в соответствующих настройках.

Кроме этого, осуществляемая шпионом передача диктофонной записи на сокет управляющего сервера позволяет выполнять прослушивание в реальном времени. Такое интересное техническое решение дает альтернативу прослушиванию при помощи скрытого телефонного звонка: в то время, когда передача данных по каналам сотовых сетей может быть заблокирована правоохранительными органами, вероятность доступных и активных Wi-Fi-сетей остается весьма высокой, поэтому у злоумышленников имеется определенный шанс получить необходимую им информацию. Более того, благодаря передаче большей части собираемой троянцем информации непосредственно на сокет удаленного сервера, при достаточно мощных вычислительных ресурсах последнего злоумышленники могут в реальном времени получать оперативную информацию об окружающей обстановке там, где находятся зараженные Android-устройства, объединив инфицированные смартфоны и планшеты в мощную систему слежения.

Все это позволяет говорить о проведении хорошо спланированной таргетированной атаке, направленной на получение важной информации о бастующих в настоящее время жителях Гонконга, а также их возможных действиях в будущем. Нельзя исключать применения этой или аналогичных вредоносных программ и в других регионах мира, поэтому владельцы мобильных устройств должны проявлять осторожность и не устанавливать на свои мобильные устройства подозрительные приложения.

Запись для данного троянца добавлена в вирусные базы, поэтому Android.SpyHK.1.origin не представляет опасности для пользователей антивируса Dr.Web для Android и Dr.Web для Android Light.

Подробнее об угрозе

Защитите ваше Android-устройство с помощью Dr.Web

Купить онлайн Купить через Google Play Купить через СМС Бесплатно

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Более 71% дохода компании — продажи бизнес-клиентам

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2019

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А