SecurityWeek сообщает об обнаружении Android-троянца, использующего легитимный фреймворк DroidPlugin для самообновления и сокрытия вредоносной активности.

Мобильный зловред, которого в Palo Alto Networks нарекли PluginPhantom, специализируется на краже данных и способен воровать файлы, контакты жертвы, данные геолокации и информацию, связанную с использованием Wi-Fi. Он также умеет производить фотосъемку, делать скриншоты, вести аудиозапись, перехватывать и отсылать SMS, регистрировать нажатия клавиш.

От других многофункциональных Android-троянцев PluginPhantom отличается тем, что использует DroidPlugin для разделения вредоносных функций между многочисленными плагинами, тогда как само хост-приложение ведет себя вполне благочинно. Фреймворк виртуализации DroidPlugin был разработан в китайской ИБ-компании Qihoo 360 и, согласно пояснению Bleeping Computer, позволяет разработчикам создавать Android-программы, загружающие плагины из локальных или удаленных источников в реальном времени; при этом согласия пользователя на загрузку/установку такого APK-файла не требуется.

Подобное проектное решение помогает максимально облегчить программу, ввести поддержку множества учетных записей, что особенно ценно для приложений в социальных сетях, а также распространять «горячие заплатки» в режиме реального времени без участия Google Play Store. Однако со зловредом, использующим возможности DroidPlugin, исследователи столкнулись впервые и отмечают, что это нововведение сильно затруднит статическое детектирование.

В настоящее время PluginPhantom оперирует девятью плагинами, которые встраиваются в хост-приложение как файлы ресурсов. Три из них осуществляют базовые операции, такие как обмен с C&C, обновление, вывод краденых данных, передача команд другим вредоносным модулям. Остальные плагины реализуют функции, непосредственно связанные с хищением данных:

  • поиск файлов и систематизация по разным параметрам;
  • извлечение данных о местоположении мобильного устройства;
  • кража журнала вызовов, ID устройства, контактной информации, перехват SMS и вызовов с заданных номеров;
  • ведение фотосъемки через встроенную камеру и получение снимков экрана;
  • запись фонового шума по команде и всех входящих вызовов;
  • кража Wi-Fi-информации (SSID, пароль, IP-адрес, MAC), системных данных, информации об установленных приложениях.

Исследователи также отметили, что само хост-приложение способно выполнять функции кейлоггера, используя специальные возможности Android (Accessibility), но для этого ему нужны права доступа, которые приходится запрашивать у пользователя — якобы для некой службы очистки памяти.

В комментарии SecurityWeek эксперты заявили: у них нет причин полагать, что PluginPhantom проник на Google Play, однако информацией о способах его распространения они не располагают. Спектр мишеней зловреда выявить пока не удалось, но данные геолокации, собранные PluginPhantom, ассоциируются с системой координат, которую используют навигаторы Baidu Maps и Amap Maps, весьма популярные в Китае.

В заключение представители Palo Alto предупредили, что примеру авторов нового Android-зловреда могут последовать другие вирусописатели и использование DroidPlugin как метода сокрытия пойдет в массы, вытеснив столь популярные ныне репаки. «Поскольку схема разработки плагинов носит общий характер, а соответствующий SDK встраивается легко, Android-зловреды с расширяемой архитектурой могут стать трендом», — цитирует исследователей репортер SecurityWeek.

Категории: Аналитика, Вредоносные программы, Главное