Эксперты Palo Alto Networks выявили новую вредоносную программу для Android SpyDealer, которая может похищать информацию более чем из 40 приложений и фиксировать местоположение пользователей.
В ходе анализа SpyDealer специалисты выяснили, что эта программа появилась в 2015 году. Эксперты обнаружили 1046 вариаций SpyDealer: в настоящее время активными являются лишь версии 1.9.1, 1.9.2 и 1.9.3.
Как утверждают аналитики, вредоносная программа не внедрялась в Google Play, а пострадали в большинстве своем китайские пользователи, поскольку в КНР SpyDealer распространяется посредством приложений GoogleService и GoogleUpdate.
По мнению исследователей, вредоносная программа все еще находится в разработке, однако уже располагает широкими возможностями. SpyDealer может красть информацию из таких приложений, как Android Native Browser, Facebook, Firefox Browser, Line, QQ, QQ Mail, Sina Weibo, Skype, Taobao, Telegram, Viber, WeChat и WhatsApp. С помощью легитимного функционала Accessibility Services вредоносная программа может передавать сообщения посредством мессенджеров, как QQ, Skype, Viber и WeChat. SpyDealer может контролировать инфицированное устройство через SMS, TCP или UDP.
Вредоносная программа осуществляет сбор всей информации об инфицированном устройстве, в том числе телефонного номера, идентификатора IMEI и IMSI, SMS- и MMS-сообщений, список контактов, историю звонков, сведения о местоположении устройства.
SpyDealer может делать скриншоты и фотографии, осуществлять запись аудио- и видеофайлов, собирать геолокационные данные, автоматически отвечать на входящие вызовы с тех или иных номеров.
Поскольку использование большей части вредоносных функций требует наличия root-доступа, для повышения привилегий SpyDealer задействует утилиту Baidu Easy Root, которая дает возможность повышать права на устройствах с Android версий от 2.2 до 4.4. Таким образом, утверждают эксперты Palo Alto Networks, уязвимыми являются 15% Android-устройств. Если вредоносная программа не получила root-доступ, она не может применять серьезный функционал и лишь собирает информацию.
