«Лаборатория Касперского» рассказала об Android-малвари BusyGasper, шпионящей за пользователями

Эксперты «Лаборатории Касперского» обнаружили многофункциональную малварь для Android-устройств BusyGasper в начале 2018 года. BusyGasper — шпионский имплант, который следит за датчиками устройства, извлекает данные из мессенджеров (WhatsApp, Viber, Facebook) в обход системы энергосбережения. По оценкам исследователей компании, вредоносное ПО начало активную деятельность приблизительно в мае 2016 года.

Возможности ПО

1. Слежение за всеми датчикам устройства, ведение журнала событий. BusyGasper обрабатывает данные акселерометра, вычисляет и фиксирует скорость перемещения девайса. Шпионское ПО переводит устройство в активный режим незаметно для пользователя: снимает блокировку клавиатуры, выключает звук и подсветку экрана. Малварь «понимает», когда владелец берёт девайс в руку, и с помощью ряда команд устраняет следы своей активности. Функция кейлоггера вычисляет, какие символы вводит человек, анализируя каждое касание к экрану, и при необходимости делает скрин.
2. Отслеживание местонахождения устройства. BusyGasper незаметно для пользователя включает службу геолокации.
3. Использование SMS-команд. Шпионское ПО выполняет последовательность команд, если во входящем SMS-сообщении присутствуют строки 2736428734 или 7238742800.
4. Управление через электронную почту. BusyGasper отсылает по e-mail все данные, собранные с устройства жертвы, авторизуется в почтовом ящике злоумышленников и анализирует наличие команд письма в папке Cmd.
5. Обновление и скачивание дополнительных программ. Шпионское ПО может загружать инструменты и программы с FTP-сервера, который, как выяснили специалисты, предоставлен uCoz.

Малварь использует собственный синтаксис команд, состоящий из комбинаций символов с «#» в качестве разделителя. В отчёте экспертов можно найти полный список команд.

Распространение малвари

Эксперты «Лаборатории Касперского» не обнаружили следов широко известных способов проникновения вроде фишинга. Специалисты полагают, что заражение происходило вручную: злоумышленник напрямую устанавливал ПО на устройство жертвы. К такому выводу они пришли из-за наличия скрытого меню для управления и менее десяти пострадавших от импланта, которые находятся только в России.

В почтовой учётной записи хакеров аналитики обнаружили много личных данных жертв, в числе которых — сообщения из мессенджеров и SMS-банкинга. У одной из жертв на счету находилось свыше 10 000 $, хотя эксперты «Лаборатории Касперского» полагают, что кража денег — неглавная цель злоумышленников.

Создатели BusyGasper

Проанализировав ПО, специалисты не нашли сходств между BusyGasper и другими коммерческими шпионскими программами. Предполагается, что создатели малвари — локальная хакерская группа с невысокой квалификацией, потому как злоумышленники не заботятся о конфиденциальности операций, не используют шифрование и задействуют публичные FTP-сервера.

Ещё одной находкой компании стал вирус-троянец CryptoShuffler — более серьёзное ПО, которое уже украло свыше 140 000 $ в форме цифровых денег. Вирус не совершает активных действий, а просто сидит в памяти и наблюдает за буфером обмена, заменяя в нужный момент номер кошелька адресата на собственный.