Описание вредоносного ПО

Разведчик хитрого раджи

Недавно мы обнаружили троянца-шпиона, маскирующегося под Android-клиент для сервиса онлайн общения и знакомств Desi Chat. Зловреды нередко маскируются под известные сервисы или приложения для обмана пользователей, но рассматриваемый образец привлек наше внимание тем, что распространялся через официальный магазин приложений Google – Google Play Store.
Продукты «Лаборатории Касперского» детектируют этот зловред как Trojan-Spy.AndroidOS.DesiSpy.a.

Схема распространения

Особенность сервиса Desi Chat заключается в его ориентации на жителей Южной Азии: Desi – это термин, произошедший от слова на древнем санскрите देश (deśá or deshi), что значит «страна», и применяемый для обозначения народностей, обитающих на Индийском субконтиненте (Пакистан, Индия, Бангладеш, части Непала, Бутана, Шри-Ланки и других стран). Очевидно, что целью этого троянца являются пользователи сервиса, причисляющие себя к этим народностям.

Хотя в сети существует немало веб-клиентов для сервиса Desi Chat (freedesichat.com, desichat.org, allindiachat.com, desipowerchat.com и др.), в официальном магазине приложений для Android данный сервис представлен слабо. Фактически, единственное приложение, в названии которого фигурирует словосочетание «Desi Chat», является рассматриваемым в этой статье зловредом, остальные приложения либо нерелевантны поисковому запросу, либо обладают недостаточно очевидным названием. Таким образом, уже на стадии поиска мобильного клиента для Desi Chat, внимание пользователя привлекается к троянцу DesiSpy.

buchka_desi_01

Зловред в Google Play

После перехода на страницу приложения мы видим его описание, скриншоты и отзывы, в большинстве своем негативные. Внимательного пользователя отпугнут низкая оценка, негативные отзывы и малое количество установок. Но какая-то часть пользователей все же установит троянца, поскольку не все читают отзывы, но почти все доверяют официальному магазину приложений.

buchka_desi_02

Процесс работы

После установки и запуска приложение запрашивает права администратора устройства, для того чтобы усложнить свое удаление. Впрочем, пользователь может отказаться давать DesiSpy расширенные права, настаивать зловред не будет. Независимо от решения жертвы, далее троянец запускает сервис, периодически получающий данные о текущем местоположении пользователя (с помощью GPS-модуля) и IMEI устройства, а затем отправляющий эту информацию на сервер злоумышленникам. Если на устройстве не включен сервис геолокации, то раз в 15 секунд DesiSpy показывает пользователю уведомление с текстом «Please Enable GPS to detect Your Country».

buchka_desi_03

Также в статус-баре создается уведомление с аналогичным текстом, позволяющее пользователю быстро перейти на экран включения требуемого зловреду сервиса.

На этом работа троянца заканчивается. DesiSpy скрывает свою иконку из списка приложений, т.к. она ему больше не требуется – в манифесте приложения присутствует обработчик события перезагрузки устройства, позволяющий зловреду запускаться при каждом включении устройства. Никаких попыток даже имитировать функциональность сервиса для общения не предпринимается, все что связывает троянца с Desi Chat – это название.

buchka_desi_04

Код отвечающий за реализацию вышеописанной функциональности выглядит следующим образом:

buchka_desi_05
buchka_desi_06

Заключение

Несмотря на относительную простоту рассмотренного зловреда, он является серьезной угрозой для пользователей мобильных устройств, так как использует инфраструктуру официального магазина приложений для своего распространения. На данный момент возможности DesiSpy невелики, но вместе с очередным обновлением злоумышленники могут без труда добавить в приложение более опасную функциональность, которая может нанести более существенный ущерб.

Мы уже связались с Google и сообщили им о факте наличия DesiSpy в официальном магазине приложений.

Разведчик хитрого раджи

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике