Эксперты по безопасности обнаружили новую программу-шпион, получившую название MonitorMinor, которая может отслеживать активность пользователей Gmail, WhatsApp, Instagram и Facebook.
Эксперты по безопасности из «Лаборатории Касперского» обнаружили новую программу-шпион, получившую название MonitorMinor (Monitor.AndroidOS.MonitorMinor.c), которая может отслеживать активность пользователей Gmail, WhatsApp, Instagram и Facebook.
Stalkerware - это коммерческое программное обеспечение для мониторинга или шпионское ПО, которое используется для преследования, обычно оно используется для тайного шпионажа за членами семьи или коллегами.
По мнению экспертов, MonitorMinor является более мощным, чем все существующие программы своего семейства.
Stalkerware может собирать данные о текущем геолокации жертвы, перехватывать SMS и данные вызовов, а иногда и реализовывать функции геозоны.
MonitorMinor выделяется тем, что он также позволяет шпионить за другими каналами связи, такими как приложения для обмена мгновенными сообщениями.
Образец, который нашли (ему присваивается вердикт Monitor.AndroidOS.MonitorMinor.c), представляет собой редкий образец сталкера, который может это сделать.
Эксперты обнаружили, что автор stalkerware использует наличие приложения типа SuperUser (утилита SU), которое предоставляет root-доступ к системе.
«В« чистой »операционной системе Android прямая связь между приложениями предотвращается песочницей, поэтому сталкер не может просто включиться и получить доступ, скажем, к сообщениям WhatsApp. Эта модель доступа называется DAC (Discretionary Access Control)
«Ситуация меняется, если установлено приложение типа SuperUser (утилита SU), которое предоставляет root-доступ к системе». «Именно на наличие этой утилиты и рассчитывают создатели MonitorMinor».
После повышения привилегий с помощью утилиты SU вредоносное ПО получает полный доступ к данным в следующих приложениях:
LINE: бесплатные звонки и сообщения
Gmail
Hall - Video CallInstagram
KickHangouts
Viber
Campaign News and Content
Skype
Snapchat
JusTalk
BOTIM
MonitorMinor также может извлечь файл /data/system/gesture.key из устройства, который содержит хэш-сумму для шаблона разблокировки экрана или пароль. Оператор MonitorMinor может использовать его для разблокировки устройства, это первое программное обеспечение, которое реализует такую функцию.
Механизм сохранения, реализованный вредоносной программой, очень эффективен и использует корневой доступ. Программа stalkerware переводит системный раздел из режима «только чтение» в режим чтения / записи, затем копирует себя в него, удаляет себя из пользовательского раздела и перемонтирует его обратно в режим «только чтение».
Жертвы не смогут удалить шпионское программное обеспечение, используя обычные инструменты ОС.
MonitorMinor использует API-интерфейс Accessibility Services для перехвата событий в контролируемых приложениях, даже без корневого доступа он может эффективно работать на всех устройствах с этим API.
Вредоносная программа также реализует кейлоггер через этот API, она также позволяет операторам отслеживать буфер обмена и пересылать содержимое.
Сталкер также позволяет своему владельцу:
Управляйте устройством с помощью SMS-команд
Просмотр видео в реальном времени с камер устройства
Запись звука с микрофона устройства
Просмотр истории просмотров в Chrome
Просмотр статистики использования для определенных приложений
Просмотр содержимого внутреннего хранилища устройства
Посмотреть список контактов
Просмотр системного журнала
По словам Касперского, большинство установок этого сталкерного программного обеспечения происходит в Индии (14,71%), затем следуют Мексика (11,76%), Германия, Саудовская Аравия и Великобритания (5,88%). Эксперты также заметили наличие учетной записи Gmail с индийским именем в теле MonitorMinor, что предполагает, что он был разработан индийским разработчиком.
«MonitorMinor превосходит другие программы-сталкеры во многих аспектах. Он реализует все виды функций отслеживания, некоторые из которых уникальны, и их практически невозможно обнаружить на устройстве жертвы ». заключает Касперский. «Если у устройства есть root-доступ, у его оператора есть еще больше возможностей.
Предупреждение: Вся информация представлена исключительно в образовательных целях.
Дополнительная информация и статьи
