Многие современные вредоносные программы, работающие на мобильных устройствах, предназначены для шпионажа за пользователями. Обнаруженный недавно Android-троянец создан именно с этой целью, причем, атака с его использованием рассчитана на конкретную группу лиц. Специалисты компании «Доктор Веб» исследовали эту вредоносную программу, получившую наименование Android.SpyHK.1.origin. Новая Android-угроза распространялась среди протестующих жителей Гонконга, выступающих за более демократичную избирательную систему. Троянец устанавливался на мобильные устройства активистов под видом приложения для координации их действий.
После своего запуска Android.SpyHK.1.origin устанавливает соединение с управляющим сервером, куда загружает большой объем общей информации о зараженном устройстве (например, версию операционной системы, номер телефона, IMEI-идентификатор, аппаратные характеристики и т. п.), после чего ожидает дальнейших указаний злоумышленников. Троянец может выполнить следующие действия:
- получить содержимое заданной директории (имена, размеры, даты последних изменений файлов и папок);
- получить GPS-координаты устройства;
- сделать запись в лог-файле;
- отобразить на экране сообщение с заданным текстом;
- выполнить звонок на заданный номер;
- получить информацию об устройстве;
- исполнить заданный shell-скрипт;
- получить расширенный список контактов (включая имя, номер, а также email-адрес);
- получить доступ к СМС-переписке;
- получить историю звонков;
- добавить определенные номера телефонов в список прослушиваемых;
- получить текущий список прослушиваемых номеров;
- загрузить файл с заданного веб-адреса;
- удалить заданный файл с устройства;
- загрузить заданный файл на управляющий сервер;
- активировать диктофонную запись через определенное время;
- активировать диктофонную запись с одновременной ее передачей на сокет управляющего сервера;
- остановить диктофонную запись;
- загрузить на управляющий сервер локальные базы встроенного почтового клиента;
- получить историю веб-бразуера;
- отправить на управляющий сервер информацию о хранящихся на карте памяти файлах и каталогах;
- выполнить сразу несколько команд по сбору конфиденциальной информации и отправить ее на сервер.
Для определения GPS-координат зараженных мобильных Android-устройств троянец эксплуатирует известную уязвимость системного виджета управления питанием, которая позволяет активировать некоторые функции мобильного устройства в обход глобальных системных настроек. В ряде случаев Android.SpyHK.1.origin теоретически может активировать GPS-приемник зараженного смартфона или планшета, даже если владелец устройства запретил использование этой функции.
Кроме этого, осуществляемая шпионом передача диктофонной записи на сокет управляющего сервера позволяет выполнять прослушивание в реальном времени, поэтому злоумышленники могут получать оперативную информацию об окружающей обстановке там, где находятся зараженные Android-устройства, объединив инфицированные смартфоны и планшеты в систему слежения. По мнению экспертов, нельзя исключать применения этой или аналогичных вредоносных программ и в других регионах мира.
