23
Пн, дек

«Касперский» нашел шпионское ПО, читающее чужую переписку в Gmail, WhatsApp, Instagram и Facebook

 
Картинки по запросу "картинки лаборатория касперского"«Лаборатория Касперского» выявила шпионскую программу, которая выдает себя за инструмент родительского контроля, но в целом позволяет эффективно шпионить за кем угодно.
 

Мониторинг или?

Эксперты «Лаборатории Касперского» опубликовали анализ новой вредоносной программы для ОС Android MonitorMinor, которая шпионит за жертвами и отслеживает всю их активность в Gmail, WhatsApp, Instagram и Facebook.

MonitorMinor эксперты «Лаборатории» отнесли к так называемому «сталкерскому» ПО (Stalkerware). Такие программы используются для адресной слежки за конкретными людьми — иногда за членами семьи, иногда за коллегами по работе. Название MonitorMinor («Мониторинг несовершеннолетнего»), видимо, призвано придавать этому вредоносу оттенок солидности. В некоторых случаях подобные разработки распространяются коммерческим порядком, но чаще всего это обычное шпионское ПО, распознаваемое защитными средствами как вредоносное.

MonitorMinor стоит особняком среди подобных программ: при определенных условиях он позволяет перехватывать еще и сообщения в мессенджерах. Но только в тех случаях, если на мобильное устройство установлена утилита, которая обеспечивает root-доступ к операционной системе. Иначе говоря, смартфон должен быть предварительно рутован, чтобы MonitorMinor мог выполнять все свои функции. Впрочем, и без этого вредонос представляет собой довольно эффективную шпионскую программу.

smartfony600.jpg

MonitorMinor получает повышенные привилегии и полный доступ к приложениям

  • Gmail,
  • Instagram,
  • Facebook,
  • Viber,
  • Hangoutes,
  • Skype,
  • Snapchat,
  • JusTalk,
  • Botim,
  • Kik,
  • Line: FreeCalls & Messages
  • Zalo — VideoCall.

MonitorMinor также способен извлекать файл /data/system/gesture.key, в котором хранится хэш-сумма пароля или графического ключа для разблокировки устройства. Это первый пример, когда Stalkerware оказывается способен на такое.

Механизм сохранности присутствия в системе отличается высокой эффективностью:

  • вредонос перемонтирует загрузочный раздел из режима read-only (только чтение) в read/write (чтение и запись),
  • затем копирует себя в него,
  • удаляет свою копию из пользовательского раздела и снова монтирует загрузочный раздел в режим read-only.
  • Собственными средствами операционной системы эту шпионскую программу не удалить.

И снова Accessibility Services

MonitorMinor использует API Accessibility Services (службы поддержки специальных возможностей) для перехвата событий в контролируемых приложениях, так что даже в отсутствие root-доступа программа способна довольно эффективно выполнять свои задачи на любых устройствах. Тот же API используется для реализации кейлоггера и перехвата содержимого буфера обмена.

Еще в 2017 г. Google рассматривал возможность ограничить разработчиков ПО в использовании Accessibility Services, однако, как легко заметить, злоумышленники до сих пор злоупотребляют данными функциями.

С помощью MonitorMinor злоумышленник может направлять контролируемому устройству команды через SMS, в режиме реального времени просматривать видео с камер смартфона и записывать звук, просматривать историю браузера Chrome, статистику использования некоторых приложений, видеть содержимое накопителя смартфона, а также просматривать список контактов и системные логи.

Большая часть установок этого вредоноса приходится на Индию (14,71%), и, по всей видимости, в Индии он и был написан: в коде программы обнаружен «забитый» почтовый адрес в Gmail с индийским именем.

На втором месте по количеству заражений Мексика (11,76%), далее идут Германия, Саудовская Аравия и Великобритания.

«По идее, подобные программы применяются для так называемого “родительского контроля”, но данная разработка явно выходит за какие бы то ни было пределы “мониторинга несовершеннолетних”, — считает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Предназначена она для сталкинга или нет, эта программа представляет собой весьма эффективный инструмент для шпионажа за конкретными людьми, и именно в таком качестве, скорее всего, и применяется. Иначе говоря, это инструмент целевой атаки».

Источник zoom.cnews.ru