Специалисты «Лаборатории Касперского» обнаружили необычную шпионскую программу, нацеленную на Android-устройства. Зловред способен выполнять около сотни команд, перехватывать нажатия на экран и снимать показания с датчиков мобильного телефона. По мнению экспертов, приложение, получившее название BusyGasper, использовалось для направленных атак на ограниченный круг жертв.

Исследователям не удалось обнаружить фишинговые страницы, спам-рассылки и другие инструменты распространения вредоносной программы. Наличие системного меню для управления приложением, а также небольшое количество скомпрометированных устройств указывают на то, что проникновение происходило через физический доступ к мобильному телефону. Командный сервер, найденный аналитиками, содержит идентификаторы всего лишь семи жертв, что подтверждает целевой характер кампании.

BusyGasper состоит из двух компонентов, первый из которых представляет собой стартовый модуль для доставки на устройство полезной нагрузки. Программа управляется по протоколу IRC и имеет root-привилегии: дополнительные компоненты она устанавливает в системные папки. В качестве командного сервера злоумышленники использовали FTP-ресурс, развернутый на бесплатном сервисе Ucoz.

Основной компонент, загружаемый стартовым модулем, предназначен для сбора и передачи злоумышленникам разнообразной информации о действиях жертвы. Программа обладает широким набором шпионских функций и позволяет выяснять местоположение владельца устройства при помощи данных сотовой сети и GPS‑координат.

Помимо этого, BusyGasper способен скрытно от пользователя выполнять следующие действия:

  • Делать фото
  • Вести аудио- ивидеозапись
  • Включать ивыключать передачу данных через мобильного оператора или Wi-Fi
  • Управлять подсветкой экрана
  • Выключать ивключать звук
  • Снимать автоматическую блокировку клавиатуры
  • Считывать показания сенсоров (температура, акселерометр идругие)
  • Читать SMS исообщения мессенджеров
  • Записывать историю браузера

Злоумышленники могут управлять телефоном жертвы как по IRC-каналу, так и при помощи электронной почты. Зловред проверяет принадлежащий мошенникам почтовый ящик и, обнаружив там письмо с системным оператором, выполняет его. Авторы приложения предусмотрели также передачу экстренных команд по SMS.

Как заявили ИБ-специалисты, BusyGasper также обладает возможностями кейлоггера и способен перехватывать сведения о работе с клавиатурой на зараженном устройстве. Программа получает координаты касаний экрана и соотносит их с соответствующими символами. Дополнительно злоумышленники имеют возможность сделать скриншот той области дисплея, до которой дотронулась жертва.

Эксперты «Лаборатории Касперского» утверждают, что код программы не содержит заимствований из других вредоносных скриптов. Скорее всего, шпион был разработан и использовался одной группой злоумышленников. При этом отсутствие шифрования данных и размещение командного сервера на публичном ресурсе говорят о невысокой квалификации нападавших.

На прошлой неделе румынские ИБ-эксперты обнаружили еще одну программу‑шпион для Android. В отличие от авторов BusyGasper, создатели Triout рассчитывали на широкое распространение своей разработки. Зловред был внедрен в мобильную игру Sex Game и умел записывать телефонные разговоры, перехватывать текстовые сообщения, делать фото и вести видеозапись. Приложение было удалено из Google Play и теперь распространяется через форумы и альтернативные площадки.

Категории: Вредоносные программы