Mazajke
Доверенный участник
- Регистрация
- 3/4/11
- Сообщения
- 574
- Гарант-сделки
- 7
Эксперты Bitdefender обнаружили (PDF) вредоноса Triout, предназначенного для Android. Угроза является мощным шпионским инструментом, может записывать телефонные звонки и похищать фото.
Исследователи рассказывают, что впервые заметили Triout около месяца тому назад, но изучение малвари показало, что первые образцы были загружены на сайт VirusTotal еще в середине мая 2018 года. Известно, что первый образчик был загружен с российского IP-адреса, однако последующие версии уже загружались с израильских IP.
Аналитикам Bitdefender не удалось установить, каким образом происходит распространение Triout, но в отчете экспертов сказано, что все обнаруженные версии малвари маскировались под легитимное приложение (исследователи разбирают пример приложения Sex Game), ранее размещавшееся в Google Play. Можно предположить, что распространение малвари осуществляется через сторонние каталоги приложений, хотя вредонос по-прежнему подписан аутентичным Google Debug Certificate.
С технической стороны Triout представляет собой достаточно мощное шпионское решение, которое способно «прятаться» от пользователя и записывать все звонки, совершаемые с зараженного устройства, и загружать записи на удаленный сервер; похищать журнал звонков и SMS-сообщения; передавать на управляющий сервер GPS-координаты устройства; отправлять своим операторам копию каждой фотографии, сделанной камерой зараженного смартфона.
Исследователи отмечают, что вредоносы с такой функциональностью обычно создаются и используются «правительственными хакерами» разных стран. Однако, похоже, это не относится к разработчикам Triout. Дело в том, что код малвари лишен какой-либо обфускации, и для доступа к исходному коду, достаточно просто распаковать файл APK. Впрочем, специалисты полагают, что это может означать, что фреймворк Triout попросту еще находится в разработке.
Хотя экспертам пока не удалось понять, какие цели преследуют создатели Triout, Bitdefender предупреждает, что управляющая инфраструктура вредоноса по-прежнему активна и, очевидно, злоумышленники могут готовить весьма опасную шпионскую кампанию.
Исследователи рассказывают, что впервые заметили Triout около месяца тому назад, но изучение малвари показало, что первые образцы были загружены на сайт VirusTotal еще в середине мая 2018 года. Известно, что первый образчик был загружен с российского IP-адреса, однако последующие версии уже загружались с израильских IP.
Аналитикам Bitdefender не удалось установить, каким образом происходит распространение Triout, но в отчете экспертов сказано, что все обнаруженные версии малвари маскировались под легитимное приложение (исследователи разбирают пример приложения Sex Game), ранее размещавшееся в Google Play. Можно предположить, что распространение малвари осуществляется через сторонние каталоги приложений, хотя вредонос по-прежнему подписан аутентичным Google Debug Certificate.
С технической стороны Triout представляет собой достаточно мощное шпионское решение, которое способно «прятаться» от пользователя и записывать все звонки, совершаемые с зараженного устройства, и загружать записи на удаленный сервер; похищать журнал звонков и SMS-сообщения; передавать на управляющий сервер GPS-координаты устройства; отправлять своим операторам копию каждой фотографии, сделанной камерой зараженного смартфона.
Исследователи отмечают, что вредоносы с такой функциональностью обычно создаются и используются «правительственными хакерами» разных стран. Однако, похоже, это не относится к разработчикам Triout. Дело в том, что код малвари лишен какой-либо обфускации, и для доступа к исходному коду, достаточно просто распаковать файл APK. Впрочем, специалисты полагают, что это может означать, что фреймворк Triout попросту еще находится в разработке.
Хотя экспертам пока не удалось понять, какие цели преследуют создатели Triout, Bitdefender предупреждает, что управляющая инфраструктура вредоноса по-прежнему активна и, очевидно, злоумышленники могут готовить весьма опасную шпионскую кампанию.
