Whatsapp адреси серверів — Новий троян напав на WhatsApp, Skype, Viber і Telegram. Під загрозою півмільярда смартфонів

«Хочу все знати»

Експерти Palo Alto Networks виявили нову троянську програму для Android, здатну красти особисті дані комунікаційних додатків і телефонних дзвінків.

Троянець здатний забезпечувати для заражених їм додатків адміністративні привілеї за допомогою експлойтів з комерційного додатки Baidu Easy Root, і цим забезпечує собі можливість збору даних та захищає себе від спроб видалення.

Після установки шкідливий реєструє в системі два приймача, які, в свою чергу, реєструють завантаження пристрою і статус бездротового з’єднання. При першому запуску троянець зчитує дані з локального файлу налаштувань readme.txt — це IP-адреса командних серверів, а також функції, які дозволено виконувати при підключенні до стільникових мереж та/або до Wi-Fi.

Оскільки приймаюча функція має більш високий пріоритет, ніж використовуване за замовчуванням комунікаційне додаток, SpyDealer може отримувати команди від командного сервера прямо з допомогою SMS-повідомлень. Він також створює TCP-сервер на скомпрометованому пристрої і «слухає» порт 39568. У певних умовах він може встановлювати активні з’єднання через UDP або TCP.

Всього троянець може виконувати понад півсотні різних команд. Зокрема, як зазначають дослідники, троянець здатний красти дані з популярних месенджерів WeChat, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tencent Weibo, програми, Facebook, встановленого браузера Android, браузерів Firefox і Oupeng, поштових клієнтів QQ Mail, NetEase Mail, Taobao і Baidu Net Disk.

Для перехоплення окремих повідомлень шкідлива програма використовує штатну функцію Android AccessibilityService.

Джентльменський набір шпигуна

Проникнувши на пристрій, він збирає і переправляє на контролюючі сервери всі доступні особисті дані, у тому числі номер телефону, дані IMEI, IMSI, повідомлення SMS і MMS, список контактів, історію телефонних дзвінків, географічне розташування та інформацію про поточні з’єднання Wi-Fi.

Читайте також:
Як створити Viber гаманець і навіщо він потрібен

В деяких випадках він може приймати телефонні дзвінки з певного номера, записувати розмови, робити скріншоти і знімки з допомогою передній і тиловій камер.

— Все разом це виглядає як «джентльменський набір» шпигунських інструментів, причому, швидше за все, що розроблявся для вельми виборчого застосування, аж до стеження за конкретними особами, — вважає Ксенія Шилак, директор з продажу компанії SEC Consult. — На це, зокрема, може вказувати на те, що частина жертв могла заразитися через скомпрометовані бездротові мережі.

Дійсно, експерти Palo Alto відзначають, що шкідливий не поширюється через програми в офіційному магазині Google Play Store (але нічого не говорять про альтернативні джерела додатків) і що як мінімум деякі користувачі в Китаї були заражені через скомпрометовані Wi-Fi-з’єднання, які можуть зустрічатися в публічних кафе, так і в готелях будь-якої «звездочности».

Те, що творці троянця найбільше зацікавлені саме користувачами, що розташовуються на території Китаю, вказує і те, що він атакує комунікаційні програми, найбільш поширені в КНР, і те, що більшість його контрольних серверів розташовуються мають китайські IP-адреси (кілька штук, правда, розташовуються на території США).

Є і ще один важливий чинник: у той час як перший перехоплена семпл SpyDealer датований 2015 р., по-справжньому ефективний він тільки на пристроях під управлінням Android 2.2.x-4.4.x, а останнє оновлення до версії 4.4.х датований 2013 р. В 2015 р. актуальною була п’ята версія Android, яка вийшла наприкінці 2014 р.

З іншого боку, поширення нових операційних систем серед користувачів відбувається відчутно повільніше, ніж їх випуск, і станом на червень 2017 р. частка версій до 4.4.х включно дуже висока — близько 25%. Версія 5.0 обігнала 4.4 за популярністю тільки навесні 2016 р., так що на момент свого передбачуваного запуску SpyDealer атакував найбільш поширені версії мобільної ОС.

Читайте також:
Xiaomi Telegram повідомлення — Не приходять повідомлення Telegram

Таким чином, з приблизно 2 млрд працюючих у світі Android-пристроїв, під ударом SpyDealer знаходяться близько 500 млн.

SpyDealer може збирати досить значна кількість даних і на версіях від п’ятої і вище, але реалізовані в них захисні механізми перешкоджають виконанню функцій, що вимагають підвищених привілеїв.

Розробка троянця, судячи з усього, активно триває, так що не можна виключати, що користувачі комунікаційних додатків під більш новими версіями Android скоро можуть опинитися під загрозою.

Анастасія Радченко/ автор статті

Давно вже працюю в всесвітній павутині, і люблю ділитися з людми корисними порадами.

Поділитися з друзями
Корисні поради - Вказівка