Эксперты Palo Alto Networks обнаружили новую троянскую программу для Android, способную красть личные данные из популярных мессенджеров и коммуникационных приложений. Более того, обнаруженный троянец способен перехватывать телефонные звонки. Троян угрожает около 500 млн Android-устройств, передает Techtoday.
Свободную работу троянец обеспечивает с помощью эксплойтов из коммерческого приложения Baidu Easy Root. После установки вредоносное приложение регистрирует в системе два программных компонента. Они следят за загрузкой устройства и статусом беспроводного соединения. При первом запуске троянец считывает данные из локального файла настроек readme.txt – это IP-адреса командных серверов, а также функции, которые разрешено выполнять при подключении к сотовым сетям и Wi-Fi.
SpyDealer может получать инструкции от командного сервера прямо с помощью SMS-сообщений. Он также создает TCP-сервер на зараженном устройстве и «слушает» порт 39568. В определенных условиях он может устанавливать активные соединения через протоколы UDP или TCP.
Всего троянец может выполнять более полусотни различных команд. Как отмечают исследователи, троянец способен воровать данные из популярных мессенджеров WeChat, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo. Он также ворует информацию из приложения Facebook, браузера Android, браузеров Firefox и Oupeng, почтовых клиентов QQ Mail, NetEase Mail, Taobao и Baidu Net Disk.
Проникнув на устройство, он собирает и переправляет на контролирующие серверы все доступные личные данные, в том числе номер телефона, сведения IMEI, IMSI, сообщения SMS и MMS, список контактов, историю звонков, географическое расположение и информацию о текущих соединениях Wi-Fi. В некоторых случаях он может принимать телефонные звонки с определенного номера, записывать разговоры, делать скриншоты и снимки с помощью передней и задней камер.