Теперь путешественники становятся жертвами вредоносного ПО
Как будто путешествия и так были недостаточно сложными, теперь путешественники должны беспокоиться не только о карманниках и мошенниках в чужих странах, поскольку было обнаружено новое вредоносное ПО. В отчете Lookout Inc. говорится , что в четыре приложения в магазине Google Play был внедрен троян Overseer, собирающий информацию о пользователях.
Среди зараженных приложений — приложение «Посольство», которое помогает путешественникам находить посольства за рубежом, а также приложения «Русские и европейские новости».
Google быстро удалил зараженные приложения из магазина Play, когда Lookout уведомил об этом, но это молоко уже пролилось. Теперь, когда цель одной из этих вещей нашла свою аудиторию, вероятно, появятся и другие.
В данном случае « законная функциональность приложения посольства была направлена на предоставление пользователю возможности поиска адресов конкретных посольств в любом географическом месте. На момент анализа подлинная функциональность не работала, однако управляющий сервер был активен», — сказал Майкл Флоссман, аналитик безопасности из Lookout, в интервью Threatpost.
Как работает Смотритель
Overseer получает такую информацию, как контакты пользователя, включая имя, номер телефона, адрес электронной почты и время связи; все учетные записи пользователей на скомпрометированном устройстве; идентификатор базовой станции, широта, долгота, идентификатор сети, код зоны местоположения; имена установленных пакетов, их разрешения и были ли они загружены; свободная внутренняя и внешняя память; IMEI устройства, IMSI, MCC, MNC, тип телефона, оператор сети, имя оператора сети, производитель устройства, идентификатор устройства, модель устройства, версия Android, идентификатор Android, уровень SDK и пользователь сборки; и было ли устройство рутировано одним из нескольких способов.
Overseer заинтересовал Lookout по двум причинам. Во-первых, потому что он нацелен на иностранных путешественников; во-вторых, потому что его управление и контроль (CNC или C2) использует Parse Server Facebook, размещенный на Amazon Web Services. Использование сервера Parse позволяет шпионскому ПО использовать HTTPS и CNC, который находится в США в популярном облачном сервисе. Это затрудняет обнаружение Смотрителя. Устройства, зараженные Overseer, периодически подключаются к домену api.parse.com, чтобы проверить, хочет ли злоумышленник выполнить какие-либо команды.
Эти конструкции вредоносных программ являются одним из последних проявлений проверенной схемы киберпреступности с рядом неожиданных поворотов. Он иллюстрирует хитрость и решимость изощренных и организованных киберпреступных групп, а также трудности, с которыми сталкиваются ИТ-отделы предприятий при защите своих цифровых активов. Это дает веские основания для развертывания одинаково сложных систем защиты среди сотрудников.