Обнаружен «троян будущего». Как он ворует деньги пользователей?

Безопасность Пользователю Техника Корпоративная мобильность
мобильная версия
, Текст: Роман Георгиев

Вредоносная программа GPlayed обладает «универсальной» функциональностью и модульной архитектурой, что делает ее втройне опасной. Эксперты опасаются, что скоро у нее появятся многочисленные подражатели.


«Швейцарский нож» мира троянов

Эксперты по информационной безопасности компании Talos выявили новый троян под ОС Andoroid, названный им GPlayed, о котором говорят как о «предвестнике новой и очень опасной эпохи» вредоносного ПО.

GPlayed обладает всеми функциями банковского трояна и инструментов «глубокого» кибершпионажа, но самое важное - это его способность подстраиваться под среду, в которую ему удается проникнуть.

Вредонос GPlayed выдает себя за клиент Google Play и способен подгружать плагины, производить инъекцию скриптов и даже компилировать новый исполняемый .NET-код. Такая архитектура позволяет менять функциональность троянца «на лету», без рекомпиляции и обновления на конечном устройстве.

За универсальную функциональность и модульную архитектуру
GPlayed назвали «трояном будущего» и «швейцарским ножом» мира вредоносного ПО

GPlayed также содержит вторую вредоносную библиотеку (eCommon.DLL), функционирующую независимот от платформы. А следовательно, троян в любой момент может стать кросс-платформенным.

Все это позволяет называть GPlayed «трояном будущего» и «швейцарским ножом» мира вредоносного ПО.

Modus Operandi

Сразу после попадания в систему или ее загрузки троян обращается к контрольному серверу и принудительно активирует WiFi-соединение, даже если оно на устройстве отключено. Далее троянец регистрируется на C2-сервере и переводит на него информацию об инфицированному устройстве - в частности, сведения о модели, IMEI, номере телефона и стране, в которой он зарегистрирован. Переправляется также информация о версии Android и дополнительных функциях, которыми может обладать смартфон.

Затем он регистрирует на сервере SMS-идентификатор и, в качестве последнего шага, запрашивает у пользователя администраторские привилегии и доступ к настройкам устройства.

Экран с этим запросом почти невозможно закрыть; даже если пользователю удастся это сделать, запрос повторится через некоторое время.

Если трояну удается заставить пользователя выдать все разрешения, то вредонос через три-пять минут начнет собирать данные о платежных картах. Для начала он открывает мини-браузер WebView со страницей, стилизованной под ресурсы Google, и запрашивает данные о кредитной карте якобы для использования служб Google. Экран фактически блокирует устройство, без ввода нужной информации он не закроется.

Всю собранную таким образом информацию о платежной карте троян проверяет в онлайне и переводит на контрольный сервер.

Троян также способен регистрировать фрагменты кода на JavaScript, которые выполняются как объекты WebView.

Таким образом операторы получают возможность заманивать владельца зараженного устройства на любой сайт и красть файлы cookie или подделывать поля форм, чтобы выманивать новые данные.

Тестовый вариант?

Вероятнее всего, версия GPlay, проанализированная экспертами Talos, была сугубо тестовой. Троян генерирует большое количество отладочных данных, что для «готовых» троянов крайне нехарактерно, плюс все URL, с которых он распространялся, недавно оказались неактивными.

Специалисты Talos отмечают, что на данный момент GPlay атакует исключительно русскоязычных пользователей, но, учитывая уровень исполнения, скорее всего поддержка других языков не заставит себя ждать.

Авторы уже распространили свою вредоносную программу по публичным платформам тестирования на вирусы, чтобы проверить количество срабатываний.

Интересно, что троян пытается каким-то очень сложным образом маскироваться: ресурс, с которого он раздавался, имитирует Google Play - с немного другой иконкой и названием «Google Play Market». Это может сработать, поскольку все чаще разработчики мобильных приложений пытаются распространять свои продукты в обход официальных магазинов приложений.

«Основную угрозу представляет именно модульная структура и универсальность этого трояна, - считает Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. - Учитывая прибыльность «мобильного» киберкриминала, появление такого «швейцарского ножа»» - вредоноса с максимальной функциональностью - было вопросом времени. Тем не менее, он использует те же методы проникновения на конечное устройство, что и большинство других программ подобного рода, и полагается в первую очередь на невнимательность или доверчивость пользователя».

Эксперты Talos, в свою очередь, опасаются, что модель, используемая GPlayed, может стать общераспространенной, что будет иметь исключительную опасность для пользователей.