Android-троян GPlayed крадет данные и следит за жертвой

Исследователи из Cisco Talos обнаружили новую троянскую программу для Android, обладающую модульной структурой. Анализ показал, что зловред пока находится на стадии тестирования, но способен превратиться в серьезную угрозу.

Подвергнутый испытаниям образец GPlayed, как его нарекли в Cisco Talos, выдавал себя за клиент Google Play: он использовал схожую иконку и назывался Google Play Marketplace. При установке троян пытается получить привилегии администратора и запрашивает разрешение на доступ к настройкам.

Вредоносная программа написана на .NET с использованием инструментов разработки Xamarin. После ее развертывания оператор может добавлять функции, удаленно загружая плагины, скрипты или новый NET-код, который компилируется на месте и запускается на исполнение.

Затем GPlayed подключается к командному серверу и отсылает на него информацию о зараженном устройстве, такую как IMEI, версия Android, модель телефона, мобильный номер, код страны, IMSI. Он также запускает таймеры для различных задач — отправки ping-запросов на C&C-сервер, включения Wi-Fi, регистрации на C&C, проверки статуса зараженного устройства, отображения запроса на расширение прав.

Функциональные возможности GPlayed богаты и разнообразны:

  • кража SMS и списка контактов;
  • совершение звонков и отправка SMS и USSD-сообщений;
  • запуск приложений;
  • уничтожение информации, добавление и удаление веб-инжектов;
  • кража платежных данных;
  • установка пароля блокировки.

Внедрение JavaScript-кода в открываемые жертвой страницы позволяет оператору зловреда похищать куки и собирать информацию, вводимую в веб-формы. Платежные данные GPlayed пытается получить, открывая в WebView поддельную страницу Google Payments с предложением добавить метод оплаты — банковскую карту. Собранные таким образом данные проходят проверку онлайн, прежде чем попасть на C&C-сервер.

«Это полноценный троян с функциями банкера и шпиона, — констатируют исследователи. — Это значит, что он способен выполнять любые действия, от сбора банковских данных до отслеживания местоположения устройства».

Проанализированный в Cisco образец GPlayed ориентирован на русскоязычные цели, так как большинство страниц, предназначенных для взаимодействия с жертвой, оформлены на русском языке. Однако исследователи отметили, что в силу особенностей проекта сменить язык в данном случае очень легко — не сложнее, чем «профориентацию» трояна.

Источник: https://threatpost.ru/android-trojan-gplayed-jack-of-all-trades/28702/