Поставщик шпионского ПО годами имел доступ ко всем Android-устройствам

Безопасность Техника Пользователю
мобильная версия
, Текст: Сергей Попсулин
Компания Hacking Team, занимающаяся продажей средств взлома и слежения государственным и коммерческим заказчикам, могла годами иметь доступ к любым Android-устройствам и практически любым данным на них, вести прослушку телефонных разговоров и перехватывать SMS-сообщения.

Одно из лучших творений хакеров

Специалисты антивирусной компании Trend Micro обнаружили среди инструментов Hacking Team средство под названием RCSAndroid (Remote Control System Android), которое Hacking Team продавала своим заказчикам для слежения за объектами.

RCSAndroid — один из самых качественных и профессионально разработанных вирусов для Android из когда-либо виденных Trend Micro, признались эксперты.

Бесчисленные возможности вируса

RCSAndroid позволяет: делать скриншоты, копировать информацию из буфера, собирать пароли к Wi-Fi-сетям, почтовым ящикам и интернет-сервисам, включая Skype, Facebook, Twitter, Google, WhatsApp и LinkedIn, собирать SMS-сообщения, фиксировать местоположение, получать информацию об устройстве, делать снимки посредством основной или фронтальной камеры.

Вирус также позволяет получать контакты в учетных записях Facebook Messenger, WhatsApp, Skype, Viber, Line, WeChat, Hangouts, Telegram и BlackBerry Messenger, а также декодировать сообщения в этих сервисах и вести запись разговоров в любой сети и в любом приложении через специальный «медиасервер».

Специалисты Trend Micro выяснили, что RCSAndroid (AndroidOS_RCSAgent.HRX) активен с 2012 г. Некоторое время назад он был подключен к командно-контрольному серверу в США. В настоящий момент этот сервер неактивен.


В арсенале Hacking Team обнаружен один из самых совершенных вирусов для Android

Причастность Восточной Европы

Активация RCSAndroid происходила по SMS-сообщению из Чешской Республики (так был настроен вирус). Затем хакер мог таким же образом дистанционно управлять, отправляя вирусу команды с указанием того, какие данные необходимо собрать с мобильного устройства. Специалисты Trend Micro обнаружили, что с Hacking Team связаны несколько чешских фирм, в том числе крупный поставщик ИТ-решений — партнер организаторов Олимпийских игр.

Многолетние уязвимости

Для проникновения на устройство хакеры использовали две уязвимости — CVE-2012-2825 и CVE-2012-2871. Обе содержатся во встроенном в Android браузере, начиная с версии Android 4.0 (Ice Cream Sandwich) и заканчивая 4.3 (Jelly Bean). Версия Android Ice Cream Sandwich была выпущена в октябре 2011 г., 4.3 — в июле 2013 г. С помощью уязвимостей хакеры заражали устройства, направляя пользователей по вредоносным ссылкам, отправляемым в письмах или SMS-сообщениях.

Заражение через бэкдор

Хакеры также использовали еще один метод заражения — через бэкдор AndroidOS_Htbenews.A. Посредством двух уязвимостей — CVE-2014-3153 и CVE-2013-6282 — они сначала устанавливали его, а затем бэкдор инсталлировал RCSAndroid.

Как кассетная бомба

Эксперты Trend Micro сравнили вирус RCSAndroid с кассетной бомбой, так как он внедряет в устройство сразу множество эксплойтов и применяет целый комплекс методов для заражения. Разобрав структуру RCSAndroid, специалисты нашли модули для проникновения в устройство, преодоления встроенной в Android защиты и набор различных агентов для мониторинга потоков данных.

Инструменты Hacking Team были опубликованы в открытом доступе в сети хакерами, взломавшими компанию. Судьба сыграла с Hacking Team злую шутку — компания годами поставляла средства взлома и слежения для государственных и коммерческих заказчиков. Но, в конечном счете, сама стала жертвой такой же деятельности.