Защитники Google Play обнаружили в ряде приложений представителя семейства шпионских Android-программ, именуемого Tizi. Расследование показало, что этот зловред впервые появился в магазине в 2015 году.

Как оказалось, новые образцы Tizi позволяют злоумышленнику получить права root на мобильном устройстве и воровать конфиденциальные данные из таких приложений, как Facebook, Twitter, WhatsApp, Viber, Skype, LinkedIn и Telegram.

«Этот бэкдор наделен разными функциями, характерными для коммерческих программ-шпионов, — пишут исследователи в блоге Google. — К примеру, он способен записывать голосовые вызовы из WhatsApp, Viber и Skype, отправлять и получать SMS-сообщения, а также обращаться к событиям календаря, журналу вызовов, контактам, фото, ключам шифрования Wi-Fi и списку установленных приложений». Tizi также умеет вести запись акустического окружения через встроенный в устройство микрофон и делать фотоснимки, не показывая их на экране.

После запуска зловред прежде всего налаживает связь с центром управления, отсылая SMS с GPS-координатами на заданный номер. «Последующие C&C-коммуникации обычно осуществляются по HTTPS, хотя некоторые версии Tizi используют протокол MQTT и кастомный сервер», — сказано в блог-записи Google.

Рутование Tizi осуществляет посредством эксплуатации хорошо известных, но не везде пропатченных уязвимостей вроде TowelRoot (CVE-2014-3153) и бреши CVE-2015-1805 в ядре Linux. По этой причине данный Android-зловред, по мнению экспертов, менее опасен для устройств, защищенность которых соответствует состоянию на апрель 2016 года или новее.

«Если приложению Tizi не удается захватить контроль над устройством из-за наличия патчей к используемым им уязвимостям, оно все же попытается выполнить некоторые действия с высокими привилегиями, запросив их у пользователя, — пишут исследователи. — В основном эти действия связаны с чтением и отправкой SMS-сообщений, а также мониторингом, перенаправлением и пресечением исходящих звонков».

По словам исследователей, в магазин Google Tizi впервые попал в октябре 2015 года — вместе с фитнес-приложением, использующим имя известного в Кении брэнда. «Разработчик Tizi даже создал отдельный сайт и использовал соцсети для продвижения продукта, доступного на Google Play и сторонних сайтах», — рассказывают эксперты. Проверка также выявила еще два зараженных Tizi приложения.

Совокупно Google удалось идентифицировать 1,3 тыс. устройств, пострадавших в ходе Tizi-кампании. Большинство заражений зарегистрировано в Кении, Нигерии и Танзании, значительно меньше — в США.

Google - Tizi infections

В последний год Google тратит много усилий на повышение безопасности всей экосистемы Android, начиная с официального магазина приложений и заканчивая устройствами пользователей. Так, в мае компания ввела в строй Play Protect — новую защитную технологию, позволяющую проверять уже скачанные приложения на наличие вредоносного контента.

Тем не менее, зловредам все еще удается время от времени просачиваться на Google Play — достаточно вспомнить недавний случай с ложным апдейтером WhatsApp. В марте, например, Google пришлось вычищать из магазина приложения с очередным рекламным ПО, в августе — мессенджеры со шпионом SonicSpy. А в середине текущего месяца в магазине Google были обнаружены сразу несколько разных вредоносных программ.

Категории: Аналитика, Вредоносные программы