Специалисты румынской компании Bitdefender опубликовали отчет о новом шпионском ПО для Android под названием Triout. Оно записывает телефонные звонки, отслеживает текстовые сообщения, самостоятельно делает снимки, записывает видео и собирает данные о местоположении жертвы. Вредонос попадает на устройство в модифицированном APK-пакете с легальным приложением и способен скрывать свое присутствие.

Специалисты считают, что Triout активен как минимум с середины мая — тогда его впервые засекли на VirusTotal. Шпион упакован в мобильную игру Sex Game. Ранее она была доступна в Google Play, но в 2016 году ее удалили из официального магазина.

«Новая версия приложения практически идентична оригинальной как по коду, так и по функциональным возможностям. Единственное исключение — полезная нагрузка, — пояснили исследователи. — Все остальное, вплоть до иконки на экране устройства, остается таким же, как раньше, чтобы не вызывать подозрений у жертвы».

Triout записывает каждый входящий и исходящий звонок вместе с указанием точного времени вызова, продолжительностью разговора и именем звонившего. Кроме того, он собирает все SMS-сообщения вместе с отметкой об отправителе, регистрирует GPS-координаты телефона и делает снимки фронтальной и задней камерой устройства. Собранные данные вредонос отправляет на C&C-сервер.

Эксперты отметили, что первый образец, отмеченный на VirusTotal, прислали из России, но большая часть проверок проводилась с израильских IP-адресов. Точно сказать, откуда именно началось заражение, нельзя, но исследователи полагают, что зловред распространялся через сторонние магазины и форумы обмена приложениями.

«Мы исходим из того, что теперь злоумышленники нашли альтернативный механизм доставки, например подконтрольные им веб-страницы, — рассказал в интервью Threatpost старший аналитик Bitdefender Богдан Ботезату (Bogdan Botezatu). — Образцы распространяются с большой осмотрительностью, чтобы избежать попадания в руки ИБ-исследователей».

Сложно оценить и масштаб заражения: так как приложения нет в Google Play, в распоряжении исследователей нет и статистики скачиваний.

Категории: Вредоносные программы