Следующая новость
Предыдущая новость

Обнаружен троян для Android, ворующий данные из Facebook Messenger, Skype, Telegram, Twitter

04.04.2018 14:17
Обнаружен троян для Android, ворующий данные из Facebook Messenger, Skype, Telegram, Twitter

Аналитики Trustlook Labs обнаружили трояна для Android, который похищает данные из популярных мобильных мессенджеров, включая Facebook Messenger, Skype, Telegram, Twitter и так далее.

В своем отчете исследователи не упоминают о способах распространения новой малвари. Но учитывая тот факт, что изученное вредоносное приложение носит название «Облачный модуль» (Cloud Module) на китайском языке, а в Поднебесной не работает Google Play Store, можно предположить, что троян распространяется через сторонние каталоги приложений, сайты и форумы.

Изучение вредоноса показало, что он весьма прост, но при этом и эффективен. Так, после установки вредоносного приложения, троян сначала пытается внести изменения в файл /system/etc/install-recovery.sh. Если операция проходит успешно, это гарантирует малвари устойчивое присутствие в системе и запуск после каждой перезагрузки.

Закрепившись в системе, «Облачный модуль» принимается извлекать данные из популярных мессенджеров, среди которых:

  • Tencent WeChat;
  • Weibo;
  • Voxer Walkie Talkie Messenger;
  • Telegram Messenger;
  • Gruveo Magic Call;
  • Twitter;
  • Line;
  • Coco;
  • BeeTalk;
  • TalkBox Voice Messenger;
  • Viber;
  • Momo;
  • Facebook Messenger;

Хотя воровство информации из IM – это единственная функциональность этого, казалось бы, простого трояна (что уже достаточно необычно), специалисты отмечают, что Cloud Module применяет весьма серьезные техники «маскировки» и старается затруднить работу ИБ-специалистов. К примеру, троян уклоняется от динамического анализа кода, используя антиэмулятор и обнаруживая дебаггеры. Кроме того, разработчики малвари предприняли попытку обезопасить свой код посредством шифрования и задействовали XOR.

Источник

Последние новости