«Лаборатория Касперского» рассказала об Android-малвари BusyGasper, шпионящей за пользователями
Новости
Шпионский имплант BusyGasper следит за датчиками и отслеживает местонахождение устройства, извлекает данные из мессенджеров, анализирует касания к экрану.
817 открытий822 показов
Эксперты «Лаборатории Касперского» обнаружили многофункциональную малварь для Android-устройств BusyGasper в начале 2018 года. BusyGasper — шпионский имплант, который следит за датчиками устройства, извлекает данные из мессенджеров (WhatsApp, Viber, Facebook) в обход системы энергосбережения. По оценкам исследователей компании, вредоносное ПО начало активную деятельность приблизительно в мае 2016 года.
Возможности ПО
- Слежение за всеми датчикам устройства, ведение журнала событий. BusyGasper обрабатывает данные акселерометра, вычисляет и фиксирует скорость перемещения девайса. Шпионское ПО переводит устройство в активный режим незаметно для пользователя: снимает блокировку клавиатуры, выключает звук и подсветку экрана. Малварь «понимает», когда владелец берёт девайс в руку, и с помощью ряда команд устраняет следы своей активности. Функция кейлоггера вычисляет, какие символы вводит человек, анализируя каждое касание к экрану, и при необходимости делает скрин.
- Отслеживание местонахождения устройства. BusyGasper незаметно для пользователя включает службу геолокации.
- Использование SMS-команд. Шпионское ПО выполняет последовательность команд, если во входящем SMS-сообщении присутствуют строки
2736428734
или7238742800
. - Управление через электронную почту. BusyGasper отсылает по e-mail все данные, собранные с устройства жертвы, авторизуется в почтовом ящике злоумышленников и анализирует наличие команд письма в папке Cmd.
- Обновление и скачивание дополнительных программ. Шпионское ПО может загружать инструменты и программы с FTP-сервера, который, как выяснили специалисты, предоставлен uCoz.
Малварь использует собственный синтаксис команд, состоящий из комбинаций символов с «#» в качестве разделителя. В отчёте экспертов можно найти полный список команд.
Распространение малвари
Эксперты «Лаборатории Касперского» не обнаружили следов широко известных способов проникновения вроде фишинга. Специалисты полагают, что заражение происходило вручную: злоумышленник напрямую устанавливал ПО на устройство жертвы. К такому выводу они пришли из-за наличия скрытого меню для управления и менее десяти пострадавших от импланта, которые находятся только в России.
В почтовой учётной записи хакеров аналитики обнаружили много личных данных жертв, в числе которых — сообщения из мессенджеров и SMS-банкинга. У одной из жертв на счету находилось свыше 10 000 $, хотя эксперты «Лаборатории Касперского» полагают, что кража денег — неглавная цель злоумышленников.
Создатели BusyGasper
Проанализировав ПО, специалисты не нашли сходств между BusyGasper и другими коммерческими шпионскими программами. Предполагается, что создатели малвари — локальная хакерская группа с невысокой квалификацией, потому как злоумышленники не заботятся о конфиденциальности операций, не используют шифрование и задействуют публичные FTP-сервера.
Ещё одной находкой компании стал вирус-троянец CryptoShuffler — более серьёзное ПО, которое уже украло свыше 140 000 $ в форме цифровых денег. Вирус не совершает активных действий, а просто сидит в памяти и наблюдает за буфером обмена, заменяя в нужный момент номер кошелька адресата на собственный.
817 открытий822 показов