ЛК: Троян для Android распространяется по типу атаки Red October
В ходе атаки против Тибетских активистов, хакеры рассылают жертвам ZIP-архивы с инфицированными DOC, XLS и PDF-документами.
Лаборатория Касперского обнаружила несколько атак на мобильную платформу Android, направленных против Тибетских и уйгурских активистов, защищающих права национальных меньшинств в регионе, в ходе которых киберпреступники использовали те же приемы, что и в обезвреженной ранее операции «Red October», о подробностях проведения которой SecurityLab сообщал ранее.
По данным экспертов, хакеры инфицировали мобильные устройства жертв при помощи вредоносной спам-рассылки, которой подменили уведомления о проведении конференции по защите прав человека в Женеве.
В ходе атаки, злоумышленники рассылали жертвам сообщения электронной почты с названием «WUC's Conference.apk», в котором находился вредоносный файл, размером 334326 байт. После установки бэкдора, на экране смартфона появлялась иконка приложения с названием «Conference».
Если жертва попытается запустить приложение, вирус запускает страницу с описанием предстоящего события. Причем, в описании допущена ошибка – слово «World» заменено на «Word».
Пока жертва читает поддельное уведомление, вредоносная программа сообщает об успешном инфицировании устройства командному серверу. После этого, вирус начинает собирать данные, хранящиеся на смартфоне, включая контакты, причем сохраненные и в памяти телефона, и на SIM-карте, информацию о совершенных звонках, SMS-сообщения, геолокационные данные, а также информацию о телефоне – номер, версию операционной системы, модель смартфона и версию SDK.
Исследователи отмечают, что похищенные данные не отправляются на C&C-сервер автоматически. Троян ждет команду в SMS-сообщении, и, в зависимости от того, какая команда приходит, такую информацию передает серверу в зашифрованном виде. Эксперты установили, что хакеры используют библиотеку Java Base64, разработанную Sauron Software и являющуюся свободным ПО, распространяющимся по LGPL-лицензии.
В ходе расследования атаки сотрудники ЛК установили, что C&C-сервер, на который передаются скомпрометированные данные, находится в Лос-Анджелесе, США.
Подробнее с результатами исследования можно ознакомиться здесь.
Тени в интернете всегда следят за вами