August 25, 2018

Android-вредонос Triout способен записывать звонки и воровать фотографии

Эксперты Bitdefender обнаружили (PDF) вредоноса Triout, предназначенного для Android. Угроза является мощным шпионским инструментом, может записывать телефонные звонки и похищать фото.

Исследователи рассказывают, что впервые заметили Triout около месяца тому назад, но изучение малвари показало, что первые образцы были загружены на сайт VirusTotal еще в середине мая 2018 года. Известно, что первый образчик был загружен с российского IP-адреса, однако последующие версии уже загружались с израильских IP.

Аналитикам Bitdefender не удалось установить, каким образом происходит распространение Triout, но в отчете экспертов сказано, что все обнаруженные версии малвари маскировались под легитимное приложение (исследователи разбирают пример приложения Sex Game), ранее размещавшееся в Google Play. Можно предположить, что распространение малвари осуществляется через сторонние каталоги приложений, хотя вредонос по-прежнему подписан аутентичным Google Debug Certificate.

С технической стороны Triout представляет собой достаточно мощное шпионское решение, которое способно «прятаться» от пользователя и записывать все звонки, совершаемые с зараженного устройства, и загружать записи на удаленный сервер; похищать журнал звонков и SMS-сообщения; передавать на управляющий сервер GPS-координаты устройства; отправлять своим операторам копию каждой фотографии, сделанной камерой зараженного смартфона.

Исследователи отмечают, что вредоносы с такой функциональностью обычно создаются и используются «правительственными хакерами» разных стран. Однако, похоже, это не относится к разработчикам Triout. Дело в том, что код малвари лишен какой-либо обфускации, и для доступа к исходному коду, достаточно просто распаковать файл APK. Впрочем, специалисты полагают, что это может означать, что фреймворк Triout попросту еще находится в разработке.

Хотя экспертам пока не удалось понять, какие цели преследуют создатели Triout, Bitdefender предупреждает, что управляющая инфраструктура вредоноса по-прежнему активна и, очевидно, злоумышленники могут готовить весьма опасную шпионскую кампанию.