Новий шкідливий додаток, видаючи себе за оновлення ПЗ системи, краде дані і отримує контроль над смартфоном. Вірус виявили фахівці з zLabs.
Шкідливе ПО має назву System Update і поширюється в мережі і як окремий додаток, і як «причеп» до іншого софту. Згідно з дослідженням, вірус вміє красти дані – наприклад, листування в месенджерах, фотографії та відео, файли з розширенням .doc, .pdf, .xlsx, журнали дзвінків і контакти. Крім того, додаток перевіряє закладки та історію відвідувань в Chrome, Firefox і браузері Samsung, переглядає буфер обміну, повідомлення, записує телефонні розмови, періодично робить знімки через будь-яку з камер. Щоб власник не запідозрив недобре, встановлений троян вміє приховувати свою іконку з робочого столу і зі списку додатків.
Відразу після установки підроблений System Update запитує систему про відсоток заряду акумулятора, статистиці внутрішнього сховища, токені Служби обміну повідомленнями, а також про наявність чи відсутність на пристрої месенджера WhatsApp – листування з цього месенджера згодом крадуться з пристрою. Основну частину часу троян знаходиться в бездіяльності, а функціональність його можна спровокувати додаванням контакт телефону, отриманням СМС або установкою певних програм, які «цікавлять» вірус. Зверніть увагу на тригер по отриманню СМС – саме через «Служба обміну повідомленнями Firebase» шкідливий отримує віддалені команди від своїх «начальників». Зокрема, таким шляхом ініціюється запис звуку з мікрофону.
Шпигунське ПЗ збирає все необхідне в ZIP-архів, відправляє його на сервер, і після підтвердження про успішну вивантаженні відразу ж видаляє архів з пристрою. Ще один нюанс: так як фото та відео можуть бути дуже важкими, вірус краде і відправляє на сервер тільки ескізи з галереї смартфона – і виявити його за постійною витоку трафіку стає складніше. У режимі очікування девайса троян виводить на екран блокування повідомлення «Пошук оновлень», яке дуже схоже на системне оповіщення Android.
Спосіб захиститися від цього винаходу – не встановлювати додатки з сторонніх магазинів або випадкових сайтів. Google офіційно підтвердила, що в Play Store немає і ніколи не було трояна System Update, а значить отримати його можна тільки з неофіційних або піратських джерел.