Взломанный вариант VPN-приложения Psiphon обнаружили ИБ-специалисты Bitdefender. Измененный дистрибутив Android-программы распространяется через неавторизованные хранилища и устанавливает на смартфон жертвы шпионское ПО. В качестве полезной нагрузки выступает зловред Triout, ранее распространявшийся вместе с игрой для взрослых. Исследователи подчеркивают, что на Google Play находится чистая версия Psiphon.

Вредоносный вариант приложения был найден 11 октября прошлого года. Как отмечают исследователи, пользователь, скачавший взломанный дистрибутив, получает работоспособную версию Psiphon, однако вместе с ней на устройство устанавливается программа-шпион и рекламные модули.

Triout впервые попал в поле зрения ИБ-специалистов в мае 2018 года, однако его предыдущий вариант распространялся с мобильной игрой Sex Game. Вредоносная программа перехватывает и записывает все телефонные звонки жертвы, собирает сведения о геолокации и копирует SMS. Кроме того, шпион способен снимать фото и видео камерой устройства и имеет доступ к адресной книге. Собранные данные Triout отправляет на командный сервер злоумышленников.

Эксперты отмечают, что в качестве центра управления шпион использует сервер, на котором расположен сайт французского дискаунтера Magic Deal. Аналитики затрудняются сказать, стал ли ресурс жертвой взлома или же изначально был создан злоумышленниками в криминальных целях.

Индикатором заражения может служить номер версии Psiphon, загружаемый из репозитория. Актуальная сборка легитимного приложения имеет номер 214, в то время как вредоносный вариант устанавливает на устройство устаревший релиз 91. Безопасная программа имеет более 10 млн скачиваний и в основном позитивные отзывы, аналитики рекомендуют не пользоваться сторонними хранилищами для установки Psiphon и загружать дистрибутив только с Google Play.

Специалисты затрудняются оценить масштабы кампании — сканеры Bitdefender обнаружили лишь семь зараженных устройств, однако эксперты признают, что их телеметрия может не охватывать все инфицированные смартфоны.

Категории: Вредоносные программы