Эксперты из Palo Alto подробно рассказали о троянской программе DualToy для Windows. Вредоносная программа может скрытно осуществлять загрузку мобильных приложений на любые устройства на базе Android и iOS, которые подключены к инфицированному компьютеру с помощью USB-кабеля.
Хакеры пользуются DualToy еще с января прошлого года, но первоначально программа могла заражать лишь Android-устройства. Спустя полгода после выхода первой версии появилась вторая, имеющая поддержку iOS, но число инфицированных устройств стало стремительно увеличиваться лишь в настоящее время. Как утверждают исследователи, сейчас существует около 8000 экземпляров DualToy.
Вредоносная программа написана на C++ и Delphi. При заражении системы она осуществляет загрузку и установку Android Debug Bridge (ADB) и драйверов iTunes для Windows. С помощью этих приложений троянская программа может взаимодействовать с любым устройством, подключенным к компьютеру. DualToy по умолчанию воспринимает все мобильные устройства, подключенные к компьютеру, как принадлежащие владельцу инфицированного ПК. Программа стремится воспользоваться информацией, хранящейся на компьютере, для того, чтобы пройти аутентификацию на устройстве.
После того, как доступ к устройству был получен, троянская программа выходит на связь с командным сервером, осуществляет загрузку списка приложений, необходимых для инсталляции, скачивает их и устанавливает на мобильное устройство. Чтобы избежать проблем в ходе установки приложений на Android-смартфон, DualToy загружает с командного сервера специальный код и запускает его. С помощью этого кода троянская программа получает суперпользовательские права, что позволяет ей в фоновом режиме проводить установку любых программ на устройство без ведома пользователя.
В случае с iOS-устройствами вредоносная программа производит загрузку и запуск кода, собирающего такие сведения, как ICCID, IMEI, IMSI, серийный и телефонный номер, а также идентификатор Apple ID и пароль пользователя. Эта информация передается на командный сервер.