Эксперты компании Trend Micro обнаружили мультиплатформенный шпион Maikspy, маскирующийся под игру “для взрослых”. Биография зловреда начинается с декабря 2016 года — тогда появилась первая вариация Maikspy для Windows, которая использовала для продвижения имя бывшей американской порноактрисы Мии Халифы (Mia Khalifa).

Десктопный Maikspy умеет красть пользовательские пароли и файлы в форматах .jpg, .jpeg, .png, .txt, .wav, .html, .doc, .docx и .rtf, сообщать злоумышленникам сведения об операционной системе, браузерах и сетевых параметрах зараженных машин.

Версия для Android, которая появилась в январе 2017 года, способна включать микрофон, читать SMS и список контактов и красть фотографии и текст из буфера обмена, а также перечень установленных приложений и аккаунтов, которые пользователи привязали к своим устройствам. В более ранних вариациях мобильный зловред мог записывать звонки и определять местонахождение жертвы.

Если изначально программа называлась Mia Khalifa Game, то с января 2018 года Android-шпион продвигается под видом игры Virtual Girlfriend. После установки на смартфон вредонос показывает сообщение об ошибке и удалении приложения, чтобы усыпить бдительность пользователя. На самом деле он продолжает работать в фоновом режиме. Каждые 60 секунд программа обращается за командой к удаленному серверу, который может приказать ей начать запись звука, переслать содержимое буфера обмена или карты памяти либо прочие собранные данные.

https://www.instagram.com/p/BeqM72ujp8T/

Создатели зловреда также пытаются украсть деньги со счета жертвы. При первом запуске приложение предлагает пользователю зарегистрироваться на сервисе онлайн-знакомств. Платежные данные, включая CVV, необходимо указать в полях всплывающей формы. По информации авторов отчета, несмотря на заявление о бесплатной регистрации, мошенники все равно снимают с карты деньги и могут в дальнейшем использовать ее в своих целях.

В своем Windows-воплощении Maikspy распространяется в виде архива, где помимо основного зловреда есть еще два исполняемых файла. Один дает шпиону права администратора, второй представляет собой копию утилиты Mimikatz — она извлекает из памяти незащищенные пароли, хэши, PIN-коды и аутентификационные сетевые данные. В архиве также находится текстовый документ README, в котором пользователя призывают отключить антивирус — защитное ПО якобы считает игру порноспамом из-за ее “взрослой” тематики.

Помимо десктопной версии “игры”, аналитики обнаружили вредоносное расширение для Google Chrome, которое перехватывает пользовательские пароли и отправляет на тот же сервер, что и остальные представители семейства Maikspy.

Создатели шпиона активно продвигают свой продукт через Twitter. Основной площадкой служит аккаунт @RoundYear_Fun. Так же называется и портал, на котором публикуются разнообразные игры, в том числе Virtual Girlfriend. Кроме того, по информации экспертов, на него же отправляются собранные с зараженных устройств данные.

Исследователи также отметили, что, если пользователь авторизовался на портале через свой Twitter-аккаунт, мошенники получают возможность публиковать от его имени посты в поддержку своих продуктов.

Ранее “Лаборатория Касперского” сообщила, что 25% Android-зловредов эксплуатируют тему порно. Половина из них представляет собой рекламные кликеры, среди остальных есть банковские трояны, блокировщики-вымогатели и рутовальщики. Под эротические приложения маскировался и модульный вредонос Loapi, который объединяет в себе целый набор угроз — от показа навязчивой рекламы до скрытого майнинга криптовалюты и использования зараженных устройств для DDoS-атак.

Категории: Вредоносные программы, Главное