Недавно обнаруженный Android-вредонос выполняет шпионские функции и нацелен на крупных руководителей. Его особенность заключается в том, что он требует ручной установки на устройства.
Вредонос представляет собой коммерческую шпионскую программу под названием Exaspy, которая предоставляет злоумышленнику доступ ко многим данным жертвы. По словам экспертов из Skycure, эта вредоносная программа была установлена на устройство под управлением Android 6.0.1, принадлежащее вице-президенту компании, чье название не разглашается.
Особый интерес представляет информация, полученная исследователями и относящаяся к тому, как вредонос попадает на устройство. Оказалось, что для установки шпионской программы на устройство необходим физический доступ, так как в процессе программе требуется взаимодействие с пользователем. Варианты установки без физического доступа, конечно, имеются, но для этого нужно очень изощренная социальная инженерия.
При первом запуске вредоносная программа запрашивает права администратора, номер лицензии, скрывает свое присутствие и затем запрашивает root-доступ (если потребуется, вредонос может загрузить из командного центра root-эксплоит). Следующим шагом шпионская программа устанавливает себя в качестве пакета системы.
После завершения процесса установки, вредоносная программа получает доступ к различным мессенджерам (SMS, MMS, Facebook Messenger, Google Hangouts, Skype, Gmail, встроенный почтовый клиент, Viber, WhatsApp и т.д.), может записывать аудио, получить доступ к фотографиям, делать скриншоты, собирать списки контактов, календари, историю браузера, журналы вызовов и многое другое.
Если имеется доступ к командному центру, шпион может отслеживать и передавать локальные файлы, включая фотографии и видео, исследователи.
На зараженном устройстве приложение работает под названием Google Services, используя имя пакета "com.android.protect", явно маскируясь под Google Play Services. Вредонос связывается с сервером hxxps://api.andr0idservices.com (который размещается в Google Cloud) и загружает обновления с захардкоденного URL hxxp://www. exaspy.com/a.apk.
Наибольшую опасность шпионская программа представляет для предприятий, так как у нее есть возможность собирать конфиденциальную информацию, записывать встречи, а потом использовать эту информацию для шантажа компаний.
Таганский суд Москвы оштрафовал три мессенджера. В отношении компаний было установлено неисполнение обязанностей, предусмотренных для организаторов сервисов мгновенного обмена сообщениями..
О решении мирового судьи судебного участка № 422 Таганского района Москвы сообщил официальный телеграм-канал судов общей юрисдикции города.
Компаниям Gultsch & Weiss (владеет Jabber/XMPP-сервисом Conversations) и PageBites (владеет мессенджером Imo) мировой судья назначил штраф в размере 800 тыс. рублей за административное правонарушение по ч. 1 ст. 13.39 КоАП РФ.
Компанию Threema оштрафовали на 1 млн рублей по ч. 2 той же статьи за повторное нарушение. Назначенные штрафы соответствуют минимальному размеру для юридических лиц.
Мессенджеры Threema и Imo были включены Роскомнадзором в реестр организаторов распространения информации в 2017 году, Conversations — в 2019 году.
Ранее тот же суд оштрафовал платформу Zoom на 15 млн рублей за нарушение российского законодательства о защите персональных данных. В конце апреля Таганский суд также наложил на Google штраф в размере 3,8 млн рублей за разглашение персональных данных погибших российских военнослужащих.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
