Мы привыкли слышать о новых видах неприятных вредоносных программ для Android, но вновь обнаруженное ПО может быть одним из самых агрессивных из когда-либо найденных. Мало того, что RedDrop может украсть фотографии, контакты, файлы и другие данные устройства, но также позволяет записывать живое аудио и собирать огромные телефонные счета для жертвы.
«Впервые обнаружение машинного обучения Wandera обнаружило одно из приложений RedDrop, когда пользователь нажал на объявление, отображаемое на популярной китайской поисковой системе Baidu. Затем пользователь был отправлен на huxiawang.cn, основной сайт распространения для атаки», - писали исследователи.
Следующие целевые страницы содержат контент, который пытается побудить посетителей загружать одно из 53 вредоносных приложений из семейства RedDrop. Создатели вредоносного ПО используют сеть распространения контента из более чем 4000 доменов для распространения приложений, которые замаскированы под калькуляторы, редакторы изображений, учебные пособия, игры и контент для взрослых.
«Мы считаем, что группа разработала эту сложную CDN [сеть распространения контента], чтобы запутать, где было вредоносное ПО, что затрудняет обнаружение источника угроз для групп безопасности», - добавили исследователи.
Приложения RedDrop содержат вредоносные вложенные файлы, которые упорядочены так, чтобы они могли инициировать вредоносную функциональность. После установки вредоносное ПО загружает к вам файлы, такие как APK и JAR-файлы с различных серверов C & C, и динамически хранит их в памяти устройства.
Каждое зараженное приложение требует от пользователей взаимодействия со своим устройством. Один из них, называемый «CuteActress», просит игроков протирать экран, чтобы показать соблазнительно одетую женщину, но каждый раз, когда дисплей натирается, пользователь невольно отправляет SMS-сообщение в службу премиум-класса. Вредоносная программа даже удаляет всю запись отправляемых сообщений.
RedDrop также может собирать данные, такие как локальные файлы (фотографии / контакты и т. Д.), Информацию о SIM-карте, информацию о приложении и WiFi, а также информацию о устройстве. Он также может захватывать живые аудиозаписи местной местности с помощью микрофона устройства. Затем данные отправляются обратно в папки Dropbox или Drive злоумышленников для использования в целях вымогательства или запуска дальнейших атак.