UZCERTНовая угроза в Google Play
25.01.2018 Уктам СабировСообщение о выявлении нового семейства вредоносов Lipizzan, шпионящих за устройствами Android
Как следует из блога разработчиков Android, ими было выявлено несколько приложений в магазине Google Play, внутри которых сидело мощное вредоносное ПО, предназначенное для шпионажа. По утверждениям авторов сообщения на веб-сайте www.googleblog.com, новое семейство шпионского ПО содержит разработки компании «Equus Technologies», которая специализируется на создании «индивидуальных инновационных решений для правоохранительных органов, разведслужб и организаций по обеспечению национальной безопасности». Всего выявлено около 20 приложений, часть из них была доступна через официальный интернет-каталог Google Play Store. Примечателен факт, что списка инфицированных приложений не приводится. Вместо этого, разработчики Google отмечают, что после обнаружения и блокировки двух первых из 20 вредоносных приложений, позднее появилось еще несколько приложений, зараженных вредоносным кодом. По их словам, это указывает на то, что злоумышленники имеют возможность легко менять содержимое сторонних программ, в том числе уже ставших популярными среди пользователей
Lipizzan имеет сильный функционал, позволяющий ему отслеживать состояние устройств и получать доступ к электронной почте пользователей, смс-сообщениям, локациям, голосовым звонкам и медиафайлам. По утверждению разработчиков Google, они заблокировали все вредоносные приложения, удалив их из сервиса Google Play
Как работает вредонос?
Lipizzan скрывается во вполне безобидных приложениях, как правило, это программы для создания резервных копий данных на смартфоне или для очистки памяти устройств. То есть, приложения используют вполне легитимный код, который не идентифицируется как подозрительный или вредоносный. В крайнем случае, во время их установки, сам Google Play предложит вам выбрать опцию «Неизвестные источники», позволяющую установку приложений из неизвестных источников. После установки, зараженные предложения загружают дополнительный функционал, якобы для проверки устройства на соответствие критериям приложения. Затем вредонос получает root-права на устройстве и начинает отправлять полученные данные на командный сервер.Данные, к которым вредонос получает доступ:
Запись звонковЗапись звонков VoIP
Запись через микрофон утсройства
Мониторинг геолокации устройства
Скриншоты экрана
Фотографии, сделанные на камеру устройства
Произвольная выборка данных и файлов с устройства
Произвольная выборка таких данных, как контакты пользователя, журнал звонков, смс-сообщения, данные других приложений:
• Gmail
• Hangouts
• LinkedIn
• Skype
• Snapchat
• Telegram
• Viber
• Whatsapp
• Gmail
• Hangouts
• Skype
• Snapchat
• Telegram
• Viber
Для защиты устройств Android, разработчики Google предлагают свой софт, Google Play Protect, а также рекомендуют принять следующие меры:
Устанавливать приложения только из Google Play Store, избегая риска заражения путем загрузки приложений из других источниковНе использовать опцию «Неизвестные источники»
Своевременно обновлять патчи безопасности и прошивку устройств Andrоid