+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Лабораторія Касперського виявила Android-malware BusyGasper, яка шпигує за користувачами

Лабораторія Касперського виявила Android-malware BusyGasper, яка шпигує за користувачами

Експерти «Лабораторії Касперського» виявили багатофункціональний мальвар для Android-пристроїв BusyGasper у початку 2018 року. BusyGasper — шпигунський імплант, який стежить за датчиками пристрою, витягує дані з месенджерів (WhatsApp, Viber, Facebook) в обхід системи енергозбереження. За оцінками дослідників компанії, шкідливе ПО розпочало активну діяльність приблизно у травні 2016 року.

Можливості ПЗ

  1. Стеження за всеми датчиками пристрою, ведення журналу подій. BusyGasper обробляє дані акселерометра, обчислює і фіксує швидкість переміщення девайса. Шпигунське ПЗ переводить пристрій в активний режим непомітно для користувача: знімає блокування клавіатури, вимикає звук і підсвічування екрана. Малвар «розуміє», коли власник бере девайс в руку, і за допомогою низки команд усуває сліди своєї активності. Функція кейлоггера обчислює, які символи вводить людина, аналізуючи кожен дотик до екрану, і за необхідності робить скрін.
  2. Відстеження розташування пристрою. BusyGasper непомітно для користувача включає службу геолокації.
  3. Використання SMS-команд. Шпигунське програмне забезпечення виконує послідовність команд, якщо у вхідному SMS-повідомленні присутні рядки 2736428734 або 7238742800.
  4. Керування через електронну пошту. BusyGasper відсилає по e-mail всі дані, зібрані з пристрою жертви, авторизується в поштовій скриньці зловмисників і аналізує наявність команд листа в папці Cmd.
  5. Оновлення та скачування додаткових програм. Шпигунське програмне забезпечення може завантажувати інструменти та програми з FTP-сервера, який, як з'ясували фахівці, наданий uCoz.

Малвар використовує власний синтаксис команд, що складається з комбінацій символів з «#» як розділювача. У звіті експертів можна знайти повний список команд.

Поширення малварі

Експерти «Лабораторії Касперського» не виявили слідів широко відомих способів проникнення на кшталт фішингу. Фахівці вважають, що зараження відбувалося вручну: зловмисник безпосередньо встановлював ПЗ на пристрій жертви. Такого висновку вони дійшли через наявність прихованого меню для управління і менше десяти постраждалих від імпланту, які знаходяться тільки в Росії.

У поштового облікового запису хакерів аналітики виявили багато особистих даних жертв, у числі яких — повідомлення з месенджерів та SMS-банкінгу. В одній із жертв на рахунку перебувало понад 10 000 доларів, хоча експерти «Лабораторії Касперського» вважають, що крадіжка грошей — неголовна мета зловмисників.

Творці BusyGasper

Проаналізувавши ПЗ, фахівці не знайшли подібностей між Busy Gasper та іншими комерційними шпигунськими програмами. Передбачається, що творці малварі — локальна хакерська група з невисокою кваліфікацією, тому що зловмисники не піклуються про конфіденційність операцій, не використовують шифрування і задіяють публічні FTP-сервера.

Ще однією знахідкою компанії став вірус-троянець CryptoShuffler - більш серйозне ПЗ, яке вже вкрало понад 140 $ 000 у формі цифрових грошей. Вірус не здійснює активних дій, а просто сидить в пам'яті і спостерігає за буфером обміну, замінюючи в потрібний момент номер гаманця адресата на власний.

 

Інші новини

Найкраща ціна