Шпион Exodus несколько лет размещался в Google Play

Исследователи некоммерческой организации Security Without Borders обнаружили в Google Play 25 версий нового мобильного шпиона, которые неоднократно публиковались в репозитории с 2016 года. Эксперты связали зловред с итальянскими правоохранительными органами и предупредили, что его жертвы остаются особо уязвимы перед прочими угрозами.

Специалисты назвали свою находку Exodus — по имени сервера, который управляет этим шпионом. Троян маскировался под приложения различных итальянских сотовых компаний, завлекающие жертв обещаниями маркетинговых бонусов или улучшениями в работе смартфона. Каждая из 25 версий зловреда набрала по несколько десятков загрузок, а в одном случае эта цифра превысила 350.

Согласно информации, полученной от Google, эксперты сделали вывод, что от Exodus пострадали несколько сотен человек. Администрация Google Play не раскрывает точное число жертв и подробную информацию о них, кроме того, что все они проживают в Италии.

Попавшие в Google Play зловреды, которые получили название Exodus One, представляют собой дропперы. Когда троян попадает на смартфон, он отправляет операторам его телефонный номер вместе с IMEI. Обычно эти данные используют, чтобы программа запускалась только на определенном устройстве. Однако в случае Exodus One проверка пользователя ни на что не влияет — зловред переходит к следующему шагу (Exodus Two), не дожидаясь подтверждения с управляющего сервера.

На этапе Exodus Two шпион загружает и распаковывает ZIP-архив. Модули из него обеспечивают доступ к самым разным пользовательским данным. Владельцы программы могут прослушивать телефонные переговоры своих жертв и читать их сообщения в социальных сетях, отслеживать географическое расположение, выгружать списки установленных приложений, делать скриншоты. Кроме того, Exodus Two устанавливает сценарий командной строки (reverse shell) для удаленного управления зараженным устройством.

Исследователи нашли в коде несколько функций, которые учитывают особенности отдельных Android-смартфонов. Так, зловред прячется от утилит, которые отслеживают энергопотребление приложений на аппаратах Samsung и Huawei. Ранее эксперты уже видели такую функцию у модульного трояна Skygofree, еще одного Android-шпиона, направленного на итальянских пользователей. Кроме того, на устройствах того же Huawei есть опция, позволяющая ограничить работу программ при выключенном экране, — зловред добавляет себя в белый список.

Исследователи предполагают, что Exodus разработали в итальянской компании eSurv, которая занимается услугами в области видеонаблюдения. Такой вывод они сделали, изучив обмен данными между зловредом и командным сервером. Этот узел использует тот же защищенный сертификат, что и остальные домены под управлением eSurv. Логотип компании можно увидеть на значках всех этих сайтов.

Эксперты также нашли в Интернете резюме одного из сотрудников eSurv, где он рассказывает о своем опыте мобильной разработки. Описание одного из пунктов точно передает функциональность Exodus: «создание агента для сбора данных с Android-устройств», «применение высокоэффективного метода для сохранения работоспособности приложения даже в присутствии самых агрессивных энергосберегающих утилит» и т. д.

Журналисты Motherboard обратились в eSurv за комментариями, однако не получили ответа на свой запрос. По информации репортеров, компания сотрудничает с итальянской полицией и государственными органами. В 2017 году она получила от правоохранителей более 300 тыс. евро за создание некой системы для «пассивного и активного перехвата данных».

Собеседники журналистов указали, что Exodus можно было бы признать законным средством наблюдения, если бы не отсутствие проверки пользователя, поскольку дроппер не проверяет устройство и устанавливает полезную нагрузку всем своим жертвам.

Дополнительные опасения вызывает и недостаточная защита информации. Для коммуникации с управляющим сервером Exodus Two открывает специальный порт, который не шифрует передаваемые данные. Это означает, что информацию можно перехватить, например, с помощью атаки человек посередине. А благодаря установленным сценариям reverse shell неавторизованный злоумышленник может скомпрометировать смартфон, что особенно опасно в публичных сетях Wi-Fi. Эксперты также отмечают, что если мобильный провайдер жертвы не обеспечил должную изоляцию абонентов, то пораженные устройства становятся доступны всем участникам сотовой сети.

Источник: https://threatpost.ru/exodus-spyware-stored-in-google-play-for-years/32073/