Специалисты компании «Доктор Веб» обнаружили Android-троянца, которым вирусописатели управляют с использованием протокола Telegram. Эта вредоносная программа крадет конфиденциальную информацию и выполняет команды злоумышленников.
Троянец, получивший имя , представляет собой утилиту удаленного администрирования (Remote Administation Tool, или RAT), которая распространяется под видом безобидных приложений и атакует иранских пользователей. Она может устанавливаться на смартфоны и планшеты как программа с именем « » («Insta Plus»), « » («Profile Checker») и «Cleaner Pro».
При запуске троянец предлагает владельцу мобильного устройства проверить, насколько тот популярен среди других пользователей Telegram, для чего просит указать персональный идентификатор. После того как жертва вводит любую информацию в соответствующую форму, показывает «количество посетителей» ее профиля. Однако в действительности никакой проверки троянец не выполняет. Он лишь генерирует случайное число, которое и выдает за правдивый результат. Эта функция призвана снять подозрение с вредоносной программы и создать впечатление того, что она не представляет опасности. Через некоторое время после запуска удаляет свой значок из списка приложений в меню главного экрана устройства и закрывает свое окно, пытаясь скрыть присутствие в системе.
– классическая программа-шпион, способная удаленно выполнять команды злоумышленников. Главное отличие этого вредоносного приложения от других Android-троянцев заключается в том, что для его управления киберпреступники используют протокол обмена сообщениями онлайн-мессенджера Telegram. Это первый известный вирусным аналитикам «Доктор Веб» троянец для ОС Android, в котором реализована такая функция.
После удаления значка программы копирует контакты из телефонной книги, входящие и исходящие СМС-сообщения, а также сведения об учетной записи Google владельца мобильного устройства. Затем он сохраняет эти данные в текстовые файлы в своем рабочем каталоге. Кроме того, троянец делает фотоснимок при помощи фронтальной камеры, чтобы запечатлеть лицо пользователя. Далее шпион загружает созданную фотографию и файлы с украденной информацией на управляющий сервер и отправляет Telegram-боту киберпреступников сигнал об успешном заражении устройства.
Ниже показаны примеры файлов, которые передает злоумышленникам.
После кражи конфиденциальной информации вновь подключается к боту и ожидает от него сообщений, в которых будут содержаться управляющие команды. Троянец может получать следующие директивы:
call – выполнить телефонный звонок;
sendmsg – отправить СМС;
getapps – передать на сервер информацию об установленных приложениях;
getfiles – передать на сервер информацию обо всех доступных на устройстве файлах;
getloc – отправить на сервер информацию о местоположении устройства;
upload – загрузить на сервер указанный в команде файл, который хранится на устройстве;
removeA – удалить с устройства указанный в команде файл;
removeB – удалить группу файлов;
lstmsg – передать на сервер файл с информацией обо всех отправленных и полученных СМС, включая номера отправителей и получателей, а также содержимое сообщений.
При выполнении каждой команды вредоносная программа информирует об этом Telegram-бота вирусописателей.
Помимо сбора конфиденциальных данных по команде киберпреступников самостоятельно отслеживает все входящие и исходящие СМС, а также координаты устройства. При поступлении или отправке новых сообщений и изменении местоположения зараженного смартфона или планшета троянец передает эту информацию Telegram-боту злоумышленников.
Специалисты компании «Доктор Веб» предупреждают, что вирусописатели очень часто распространяют вредоносные приложения под видом безобидных программ. Для защиты от Android-троянцев следует устанавливать ПО только от известных разработчиков и загружать его из надежных источников, таких как каталог Google Play. Все известные версии троянца детектируются антивирусными продуктами Dr.Web для Android, поэтому для наших пользователей этот шпион опасности не представляет.
НОВОЕ НА САЙТЕ
23 апреля 2024 года
Обращаем внимательность на дальнейшее обновление пасмурной версии песочницы Dr.Web vxCube, в взаимоотношения с чем 24 апреля с 13:00 перед началом 14:00 по столичному времени обслуживание будет недоступен для использования.
В составе песочницы будет обновлена документация — описание работы обслуживания будет снова на... Антивирус Dr.Web
Бизнес-школа «БИЗНЕС ИНСАЙТ» и проект «ЭКСПЕРТЫ» приглашают на III Всероссийский онлайн-форум «БИЗНЕС. ВЕСНА 2024». Бизнес-форум — важнейшее событие в мире бизнеса. На одной площадке соберутся действующие предприниматели, эксперты-практики, чтобы поделиться […]
The post
17 апреля 2024 года
В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года
Компания «Доктор Веб» 4 апреля о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.
Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web