Дополнено 2.04.2019 сведениями о расследовании, проводимом итальянскими властями.

Исследователи из некоммерческой организации Security Without Borders обнаружили в Google Play 25 вариантов нового мобильного шпиона, которые неоднократно публиковались в репозитории с 2016 года. Эксперты связали зловред с итальянскими правоохранительными органами и предупредили, что его жертвы остаются особо уязвимы перед прочими угрозами.

Специалисты назвали свою находку Exodus — по имени сервера, который управляет этим шпионом. Вредоносное ПО маскировалось под приложения различных итальянских сотовых компаний, завлекающие жертв обещаниями маркетинговых бонусов или улучшениями в работе смартфона. Каждый из 25 штаммов зловреда набрал по несколько десятков загрузок, а в одном случае эта цифра превысила 350.

Согласно информации, полученной от Google, эксперты сделали вывод, что от Exodus пострадали несколько сотен человек. Администрация Google Play не раскрывает точное число жертв и подробную информацию о них, кроме того, что все они проживают в Италии.

Попавшие в Google Play зловреды, которые получили название Exodus One, представляют собой дропперы. Когда вредоносный код попадает на смартфон, он отправляет операторам его телефонный номер вместе с IMEI. Обычно эти данные используют, чтобы программа запускалась только на определенном устройстве. Однако в случае Exodus One проверка пользователя ни на что не влияет — зловред переходит к следующему шагу (Exodus Two), не дожидаясь подтверждения с управляющего сервера.

На этапе Exodus Two шпион загружает и распаковывает ZIP-архив. Модули из него обеспечивают доступ к самым разным пользовательским данным. Владельцы программы могут прослушивать телефонные переговоры жертв и читать их сообщения в социальных сетях, отслеживать географическое расположение, выгружать списки установленных приложений, делать скриншоты. Кроме того, Exodus Two устанавливает сценарий командной строки (reverse shell) для удаленного управления зараженным устройством.

Исследователи нашли в коде несколько функций, которые учитывают особенности отдельных Android-смартфонов. Так, зловред прячется от утилит, отслеживающих энергопотребление приложений на аппаратах Samsung и Huawei. Ранее эксперты уже видели такую функцию у Skygofree, еще одного Android-шпиона, направленного на итальянских пользователей. Кроме того, на устройствах той же Huawei есть опция, позволяющая ограничить работу программ при выключенном экране, — зловред добавляет себя в белый список.

Исследователи предполагают, что Exodus разработали в итальянской компании eSurv, которая занимается услугами в области видеонаблюдения. Такой вывод они сделали, изучив обмен данными между зловредом и командным сервером. Этот узел использует тот же защищенный сертификат, что и остальные домены под управлением eSurv. Логотип компании можно увидеть на значках всех этих сайтов.

Эксперты также нашли в Интернете резюме одного из сотрудников eSurv, где он рассказывает о своем опыте мобильной разработки. Описание одного из пунктов точно передает функциональность Exodus: «создание агента для сбора данных с Android-устройств», «применение высокоэффективного метода для сохранения работоспособности приложения даже в присутствии самых агрессивных энергосберегающих утилит» и т. д.

Журналисты Motherboard обратились в eSurv за комментариями, однако не получили ответа на свой запрос. По информации репортеров, компания сотрудничает с итальянской полицией и государственными органами. В 2017 году она получила от правоохранителей более 300 тыс. евро за создание некой системы для «пассивного и активного перехвата данных».

Собеседники журналистов указали, что Exodus можно было бы признать специализированным средством наблюдения, если бы не отсутствие проверки пользователя, поскольку дроппер не проверяет устройство и устанавливает полезную нагрузку всем своим жертвам.

Дополнительные опасения вызывает и недостаточная защита информации. Для коммуникации с управляющим сервером Exodus Two открывает специальный порт, который не шифрует передаваемые данные. Это означает, что информацию можно перехватить, например, с помощью атаки человек посередине. А благодаря установленным сценариям reverse shell неавторизованный злоумышленник может скомпрометировать смартфон, что особенно опасно в публичных сетях Wi-Fi. Эксперты также отмечают, что если мобильный провайдер жертвы не обеспечил должную изоляцию абонентов, то зараженные устройства становятся доступными всем участникам сотовой сети.

Update. Как стало известно Motherboard, прокуратура Неаполя уже начала расследование деятельности eSurv. Три недели назад в офисе компании был обыск, полицейские изъяли компьютерную технику, которая предположительно использовалась для незаконного перехвата телефонных разговоров. Командная инфраструктура Exodus отключена.

Категории: Вредоносные программы, Главное