В утекших данных Hacking Team обнаружено вредоносное приложение BeNews

image

Теги: Hacking Team, утечка данных, вредоносное ПО

Приложение разработано как приманка для загрузки RCSAndroid на целевое устройство.

Похищенные у Hacking Team данные продолжают раскрывать информацию о методах несанкционированного проникновения, используемых компанией. Последняя находка – поддельное Android-приложение, которое использовалось для установки флагманского инструмента для слежения Hacking Team. Приложение называется BeNews - название, взятое у давно закрытого новостного сайта. Об этом в блоге Trend Micro пишет инженер, занимающийся вопросами мобильных угроз, Уиш Ву (Wish Wu).

Внутри приложения есть бэкдор, который, судя по всему, использовался для загрузки версии системы RCS (Remote Control System), известной также под названием Galileo, для Android. Этот инструмент для сбора данных компания продавала правоохранительным органам и агентствам безопасности по всему миру. По словам Уиша Ву, вредоносный компонент эксплуатировал уязвимость повышения привилегий CVE-2014-3153. Инструмент разработан для того, чтобы инфицировать неисправленные версии Android – от Froyo 2.2 до KitKat 4.4.4. Инженер считает, что Hacking Team продавала клиентам приложение, которое затем использовалось в качестве приманки для загрузки RCSAndroid на целевое устройство.

Сейчас Google проверяет Play Store на наличие потенциально вредоносных приложений. Однако Hacking Team, похоже, сделала все для того, чтобы BeNews не классифицировалось как вредонос после загрузки. Приложения Android запрашивают разрешение на определенные действия. Изначально BeNews просит разрешения только на 3 безопасные действия для того, чтобы Google не заблокировал его. После проверки BeNews использует динамическую загрузку и затем выполняет вредоносный компонент.

В 400 ГБ данных, похищенных у Hacking Team, блогеры Trend Micro обнаружили исходный код для бэкдора и сервера. Кроме того, были найдены подробные инструкции для клиентов, описывающие запуск вредоносного приложения.

После утечки данных Hacking Team стало известно , что компания перегруппировалась и планирует разработать новую версии RCS, которая позволит ее клиентам возобновить «уголовные и информационные расследования».

В утекших данных были обнаружены несколько уязвимостей нулевого дня. В Adobe Flash Player найдены три из них, которые клиенты Hacking Team эксплуатировали для установки разработанного компанией ПО. Adobe и Microsoft выпустили патчи для уязвимостей, о которых стало известно в результате утечки данных Hacking Team.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.