Относительно новый троян под Windows способен загружать вредоносные приложения на устройства под управлением Android и IOS, подключенные к зараженной машине через USB.
Зловред, получивший название действовал примерно с января 2015. Несмотря на то, что троян атаковал в основном пользователей в Китае, также были сообщения о пострадавших в Соединенных Штатах, Великобритании, Таиланде, Испании и Ирландии.
Исследователи обнаружили более 8000 уникальных образцов DualToy. Более ранние варианты были способны заражать только Android-устройства, но разработчики добавили возможность заражения iOS через шесть месяцев после того, как угроза впервые была замечена.
На зараженных компьютерах под управлением Windows DualToy изменяет настройки браузера и показывает рекламу. Когда устройство на Android или iOS подключается к зараженному компьютеру через USB, вредоносная программа начинает процесс его заражения.
Разработчики трояна рассчитывают на то, что, когда пользователь подключает мобильное устройство к зараженному компьютеру, оно уже авторизовано, что упрощает процесс взаимодействия с ним в фоновом режиме.
«Несмотря на то, что попав на мобильное устройство, троян может быть ограничен его защитными функциями (например, песочницей iOS), что делает его не такой критичной угрозой, DualToy в очередной раз напоминает нам о том, как легко заражать подключаемые через USB устройства» - пояснил исследователь Palo Alto Networks Claud Xiao в своем блоге.
Для того чтобы инфицировать Android и iOS-устройства троянец проверяет наличие Android Debug Bridge (ADB) и ITunes на скомпрометированной машине. Если вредонос не находит их, он их скачивает и устанавливает.
АБР и ITunes используются DualToy для установки различных приложений на устройства Android и iOS, подключенных через USB к зараженному компьютеру. В случае с Android, были загружены несколько игр на китайском языке со стороннего App Store.
В случае с iOS, троян собирает системную информацию и отправляет ее в командный центр. Эти данные включают в себя имя устройства, тип, версия, номер модели, серийный номер, IMEI, IMSI, прошивка и номер телефона.
DualToy также загружает несколько .ipa-файлов (архивы приложений в iOS) для того, чтобы запросить Apple ID и пароль пользователя. Эти данные также шифруются и отправляются на удаленный сервер.
DLP-систему InfoWatch Traffic Monitor интегрировали с корпоративным мессенджером Frisbee. Этот шаг должен усилить контроль за передачей данных внутри компании и помочь предотвратить утечки.
Для взаимодействия двух систем в Frisbee добавили специальный сервис, который отслеживает весь поток сообщений и вложений.
InfoWatch Traffic Monitor анализирует передаваемую информацию и может выявлять нарушения — например, попытку переслать персональные данные или конфиденциальные файлы, будь то текст, документы, архивы или изображения.
Frisbee — это платформа, включающая мессенджер, видеозвонки и видеохостинг, которую можно развернуть на собственных серверах или в выбранном дата-центре.
Интеграция позволяет организациям следить за соблюдением политик информационной безопасности в переписке и при обмене файлами. Как отмечают представители компаний, утечки могут происходить не только умышленно, но и по невнимательности сотрудников — особенно в повседневной рабочей коммуникации.
Новое решение помогает вовремя замечать такие инциденты, не мешая при этом привычным бизнес-процессам.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
