Итальянская компания распространяла шпионское ПО через Google Play

image

Теги: Google Play, вредоносное ПО, шпионское ПО, eSurv, Италия

В отношении подрядчика итальянской полиции возбуждено уголовное дело.

В Италии ведется следствие в отношении производителя шпионского ПО, заразившего вредоносными приложениями как минимум 1 тыс. пользователей Google Play.

В конце прошлой недели специалисты организации «Безопасность без границ» (Security Without Borders) сообщили об обнаружении новой шпионской платформы для Android-устройств, которое они назвали Exodus. Платформа состоит из двух компонентов – Exodus One и Exodus Two. За период с 2016-й по 2019 год исследователи собрали множество образцов вредоноса.

Образцы Exodus также были обнаружены в Google Play – злоумышленники в течение двух лет распространяли их под видом сервисных приложений от мобильных операторов. Несколько месяцев приложения находились в магазине, а затем добавлялись авторами заново.

Сами приложения, как и их страницы в магазине (в настоящее время все 25 приложений уже удалены из Google Play), были оформлены на итальянском языке. Каждое приложение было загружено по несколько десятков раз, но в одном из случаев число загрузок составило 350 раз. Все жертвы вредоноса проживают в Италии.

Exodus представляет собой мощное шпионское ПО с функцией сбора и перехвата данных. Хуже всего то, что вносимые вредоносом модификации делают зараженное устройство уязвимым к дальнейшим атакам.

Автором вредоносных приложений оказалась итальянская компания eSurv, специализирующаяся преимущественно на технологиях видеонаблюдения. Судя по материалам из открытых источников, с 2016 года eSurv занялась производством программного обеспечения для проникновения. Компания является подрядчиком государственной полиции Италии, однако неизвестно, использовалось ли ПО Exodus правоохранительными органами.

По данным итальянских СМИ, еще до публикации сообщения специалистов «Безопасности без границ» прокуратура Неаполя возбудила уголовное дело в отношении eSurv. Три недели назад правоохранители провели обыск в офисах компании по подозрению в незаконном перехвате данных и изъяли все компьютеры. C&C-инфраструктура Exodus была отключена.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.