Новый троян KevDroid записывает звонки на Android-устройствах

Олег Иванов 03 Апреля 2018 - 08:20

Домашние пользователи

...

Эксперты Cisco Talos проанализировали маскирующийся под антивирус вредонос для мобильной платформы Android. Ранее EST Security уже сообщала об активности этого зловреда, связывая его с деятельностью северокорейской киберпреступной группы Group 123.

Специалисты выделили два образца этой вредоносной программы, у обоих образцов отмечались одинаковые возможности — кража информации на зараженном устройстве (например, контактов, SMS и истории вызовов) и запись телефонных звонков жертвы. Один из семплов использовал известный эксплойт для уязвимости в Android CVE-2015-3636, что позволяло ему получить root-доступ на атакованном устройстве.

Оба варианта вредоноса отправляли данные на уникальный командный центр (C2-сервер) с помощью HTTP POST. Возможность записи вызовов была реализована на основе проекта с открытым исходным кодом, доступного на GitHub. Специалисты Cisco назвали эту программу «KevDroid».

Еще один образец, проанализированный исследователями (атакующий Windows), был найден на сервере злоумышленников и использовался KevDroid. Вредоносная программа использует платформу PubNub в качестве C2-сервера. PubNub представляет собой IaaS-решение, обеспечивающее передачу сообщений в реальном времени. В частности, злоумышленники используют PubNub API для передачи команд скомпрометированным системам. Этот образец получил имя «PubNubRAT».

В настоящее время эксперты не могут точно установить связь этих вредоносных программ с группой Group 123, они лишь отметили отдельный набор общих методов и техник, что, пожалуй, не может свидетельствовать о стопроцентной связи.

KevDroid получил возможность записывать разговоры жертвы благодаря проекту aykuttasil project. Этот проект предоставляет библиотеку для записи телефонных звонков, совершаемых на устройстве Android.

Вредонос сообщает злоумышленникам следующую информацию о зараженном устройстве:

Установленные приложения;
Номер телефона;
Уникальный идентификатор устройства;
Местоположение;
Сохраненные контакты;
СМС;
Записи разговоров;
Электронные письма;
Фотографии.

Следующая главная новость »

Российские альтернативы Microsoft Office: чем они отличаются и как выбрать? Расскажем на AM Live! Регистрируйтесь »

Екатерина Быстрова 11 Декабря 2025 - 10:33

Android iOS Информационные войны Общее Apple Google

Санкционный российский софт годами оставался в App Store и Google Play

Как выяснили исследователи из Tech Transparency Project, в App Store и Google Play остаются десятки приложений, связанных с компаниями и банками, находящимися под американскими санкциями. Среди них — сервисы российских финансовых организаций, включая Газпромбанк и Национальный стандарт, попавшие под санкции после февраля 2022 года.

По мнению юристов, размещение таких приложений нарушает требования Минфина США: американские компании не имеют права вести бизнес с организациями из санкционного списка. Тем не менее многие приложения спокойно существовали в маркетплейсах годами.

После обращения журналистов Google удалил почти все выявленные программы — включая ПО Газпромбанка, который, по данным властей США, использовался для закупки вооружения и выплат военным. Apple также убрала часть программ, однако компания заявила, что не считает все найденные случаи нарушениями, и пообещала усилить проверки.

Эксперты Tech Transparency Project отмечают, что меняющиеся названия компаний и приложений затрудняют соблюдение санкционного режима. Некоторые разработчики маскируют причастность к запрещённым организациям с помощью небольших правок в наименованиях или указания аффилированных юрлиц.

Для Apple ситуация особенно чувствительная: несколько лет назад компания уже столкнулась с претензиями Минфина за недостаточную проверку подобных приложений и обещала улучшить внутренние механизмы поиска санкционных совпадений. Теперь эксперты ожидают более пристального внимания регуляторов.

Российские альтернативы Microsoft Office: чем они отличаются и как выбрать? Расскажем на AM Live! Регистрируйтесь »