GPlayed — опасность для сматрфонов. Или кто еще читает твои SMS и тратит твои деньги

Eсли ваша милость дo сиx пoр храните старую кнопочную Нокию, вам счастье улыбнулось. А если вы обладатель смартфона на операционке Andoroid — вас не повезло. И дело не в том, что Гугл следтит вслед вами. Точнее, теперь не только Гугл. Эксперты по мнению информационной безопасности компании Talos выявили новый троян перед ОС Andoroid, названный им GPlayed, о котором говорят в духе о «предвестнике новой и очень опасной эпохи» вредоносного ПО. Троян может посылать и читать SMS-сообщения, извлекать контакты, менять на ходу командирский сервер C&C, звонить на определенные номера, удалять всю информацию с устройства, заблокировать устройство, устанавливать пароль для доступа к смартфону, отображать уведомления, выявлять браузер и много других неприятностей. Вредоносная программа GPlayed обладает «универсальной» функциональностью и модульной архитектурой, что делает ее втройне опасной. Эксперты опасаются, что быстро у нее появятся многочисленные подражатели. Вредонос GPlayed выдает себя по (по грибы) клиент Google Play и способен подгружать плагины, производить инъекцию скриптов и аж компилировать новый исполняемый .NET-код. Такая архитектура позволяет реконструировать функциональность троянца «на лету», без рекомпиляции и обновления бери конечном устройстве. GPlayed также содержит вторую вредоносную библиотеку (eCommon.DLL), функционирующую независимот ото платформы. А следовательно, троян в любой момент может стать гонка-платформенным. Что ты такое? Сразу после попадания в систему иначе ее загрузки троян обращается к контрольному серверу и принудительно активирует WiFi-сплочение, даже если оно на устройстве отключено. Далее троянец регистрируется для C2-сервере и переводит на него информацию об инфицированному устройстве — в частности, новость о модели, IMEI, номере телефона и стране, в которой он зарегистрирован. Переправляется опять же информация о версии Android и дополнительных функциях, которыми может иметь отличительной особенностью смартфон. Экран с этим запросом почти невозможно закрыть; даже если если пользователю удастся это сделать, запрос повторится через некоторое перепавшее. Если трояну удается заставить пользователя выдать все разрешения, то вредонос через три-пятерка минут начнет собирать данные о платежных картах. Для азы он открывает мини-браузер WebView со страницей, стилизованной перед ресурсы Google, и запрашивает данные о кредитной карте якобы пользу кого использования служб Google. Всю собранную таким образом информацию о платежной карте троян проверяет в онлайне и переводит держи контрольный сервер. Троян также способен регистрировать фрагменты стих на JavaScript, которые выполняются как объекты WebView. Таким образом операторы получают потенциальность заманивать владельца зараженного устройства на любой сайт и стяпать файлы cookie или подделывать поля форм, чтобы отхватывать новые данные. Интересно, что троян пытается каким-то бесконечно сложным образом маскироваться: ресурс, с которого он раздавался, имитирует Google Play — с одну каплю другой иконкой и названием «Google Play Market». Это может смастачить, поскольку все чаще разработчики мобильных приложений пытаются разносить свои продукты в обход официальных магазинов приложений. Да. Похоже, стоит вспомнить где лежит старая Нокия.