За последнюю неделю опубликовано 35 новых материалов.
Инструкция новичку Путеводитель по форуму Прокси для Telegram Показать подсказки , это бомба!

Мобильная малварь BusyGasper оставалась незамеченной несколько лет

  • Поучаствуй (в качестве покупателя) в любых пяти совместных покупках (кроме завершённых и "Моментальных") и получи группу "Новичок" навсегда -> ссылка на раздел
  • Получай до 480 рублей за каждого приглашенного пользователя!
    представляем Вам очередное расширение партнерской программы, подробности описаны тут -> ссылка
  • 90% материалов доступно к скачиванию после простой регистрации!
    Если же ты хочешь скачивать материалы без требования оставлять отзывы то получи группу "Новичок", 10 способов повышения описаны тут -> ссылка
  • К сожалению количество битых ссылок растет и мы уже не можем их оперативно восстанавливать поэтому просим помощи у каждого нашего пользователя.
    С сегодняшнего дня, за каждую восстановленную ссылку мы заплатим Вам.
    Подробнее тут -> ссылка
  • Перенесем твои заслуги с другого ресурса!
    Мы понимаем как сложно прокачивать аккаунты на форумах, вроде раскачал аккаунт, а тут появляется ресурс в 100 раз круче но тоже с системой прокачки и снова качать аккаунт...
    Предлагаем вам перенести Ваши заслуги на другом подобном ресурсе к нам.
    Подробности описаны тут -> ссылка
  • Вы можете получать по 2.5% с каждой покупки и продажи на маркете! Подробности в теме Партнёрская программа

News_Bot

Бот новостей и статей
Бот форума
29 Сен 2016
3.023
38
20
Мобильная малварь BusyGasper оставалась незамеченной несколько лет



Эксперты «Лаборатории Касперского» рассказали, что еще в начале 2018 года обнаружили многофункциональную Android-малварь BusyGasper. Она представляет собой уникальный шпионский имплант с такими нестандартными функциями, как слежка за датчиками устройства (включая датчики движения), возможность обхода системы энергосбережения «Doze» и невероятно широкий протокол – около ста команд.

Как и любое современное шпионское ПО для Android, BusyGasper способен извлекать данные из различных мессенджеров (WhatsApp, Viber, Facebook). Более того, у BusyGasper есть функциональность кейлоггера – малварь обрабатывает каждое касание пользователя к экрану, анализирует координаты касаний, сопоставляет их с заданными величинами и таким образом вычисляет, какой символ ввел пользователь.

Угроза имеет многокомпонентную структуру и может скачивать дополнительные вредоносные инструменты и обновления с управляющего сервера, который, как оказалось, является FTP-сервером, предоставляемым российским хостинговым сервисом Ucoz.

Также эксперты отмечают, что BusyGasper поддерживает протокол IRC, а это редкость для Android-малвари. И наконец, вредонос может использовать электронный почтовый ящик злоумышленников в качестве командного центра: после авторизации он анализирует письма в специальной папке на наличие команд, а также может сохранять вредоносную нагрузку на устройство из вложений электронной почты.

Аналитики сообщают, что текущая операция BusyGasper активна примерно с мая 2016 года до настоящего времени.
Распространение


При поиске вектора заражения исследователи не обнаружили следов фишинга или других распространенных путей проникновения. Но некоторые признаки, такие как наличие скрытого меню для управления оператором, указывают на ручное заражение. Похоже, что злоумышленники устанавливают зловред, используя физический доступ к устройству жертвы. Это объясняет и столь мало число пострадавших: их менее десяти, и все они расположены в России.

Заинтересовавшись, аналитики продолжили поиск и обнаружили еще несколько зацепок, которые раскрывают некоторую информацию о владельцах зараженных устройств. Несколько TXT-файлов с командами, находящиеся на FTP-сервере злоумышленников, содержат в именах идентификаторы жертв, которые, вероятно, были добавлены злоумышленниками. Некоторые из них похожи на русские имена: Jana, SlavaAl, Nikusha.

Также анализ дампа FTP-сервера выявил наличие в нем компонента прошивки ASUS – это указывает на интерес злоумышленников к устройствам этого производителя, а также объясняет, почему строка ‘ASUS’ содержится в идентификаторе жертвы CMDS10134-Ju_ASUS.txt.

В информации, полученной из почтовой учетной записи злоумышленников, содержится множество личных данных жертв, в том числе сообщения из мессенджеров. В числе собираемых данных были и сообщения SMS-банкинга, которые указали на наличие у одной из жертв счета с суммой более 10 000 долларов. При этом стоящие за данной кампанией преступники, очевидно, не заинтересованы в краже денег.
Вредоносная активность


Первый модуль, который устанавливается на целевом устройстве, мог контролироваться посредством протокола IRC и позволял устанавливать другие компоненты путем загрузки вредоносной функциональности с FTP-сервера:



Как видно на скриншоте, приведенном выше, новый компонент копировался в системную директорию, хотя операция такого типа невозможна без root-привилегий. Пока у специалистов нет свидетельств того, что для получения root-привилегий хакеры использовали какой-либо эксплоит, но, возможно, для этого злоумышленники прибегали к помощи какой-то неизвестного компонента.

Имплант использует сложный механизм коммуникации между компонентами, основанный на Intent:



Второй и главный модуль BusyGasper записывает лог исполнения команд в файл с названием «lock», который впоследствии отправляется злоумышленникам. Лог-файлы могут загружаться на FTP-сервер и отсылаться на электронную почту злоумышленников, также есть возможность пересылать лог через SMS-сообщения.



Как видно на скриншоте выше, в малвари представлен собственный синтаксис команд, которые состоят из комбинаций символов, а символ «#» используется как разделитель. Полный список команд можно найти в отчете экспертов.

Имплант обладает всеми функциями современного шпионского ПО для Android. Например, он способен:
  • шпионить за всеми доступными датчиками устройства и вести журнал регистрируемых событий. Более того, есть специальный обработчик данных акселерометра, который может вычислять и логировать скорость передвижения устройства.

    Эта функция, в частности, используется командой «tk0», которая выключает звук на устройстве, отключает автоматическую блокировку клавиатуры, отключает подсветку экрана, использует wakelock и прослушивает датчики устройства. Это позволяет малвари незаметно выполнять любые бэкдор-действия, не давая пользователю знать, что устройство находится в активном режиме. Как только владелец берет устройство в руку, имплант распознает событие движения и выполняет команды «tk1» и «input keyevent 3». Первая отключает все результаты действия команды «tk0», а вторая – это shell-команда, которая симулирует нажатие кнопки ‘home’, в результате сворачиваются все активные окна, чтобы пользователь ничего не заподозрил;
  • скрыто от пользователя включать службы геолокации в настройках безопасности для отслеживания местонахождения устройства;
  • использовать экстренные SMS-команды. Если входящее SMS-сообщение содержит одну или более из следующих магических строк – “ 2736428734″ или “ 7238742800″ – то малварь выполняет определенную последовательность команд;
  • осуществлять управление имплантом через электронную почту. Вредонос может авторизоваться в электронном почтовом ящике злоумышленников, анализировать письма в специальной папке «Cmd» на наличие команд, а также сохранять полезные нагрузки на устройство из вложений электронной почты. Также имплант может отсылать по электронной почте определенный файл или все собранные данные с устройства жертвы.

Кейлоггер в BusyGasper тоже реализован оригинальным способом. Сразу после активации малварь создает в новом окне элемент TextView со следующими параметрами:



Все эти элементы обеспечивают сокрытие элемента от пользователя.

Затем малварь добавляет onTouchListener в элемент TextView и может обрабатывать каждое касание пользователя. Интересно, что есть особый список activity, касания в которых игнорируются:
  • ConversationActivity
  • ConversationListActivity
  • SemcInCallScreen
  • Quadrapop
  • SocialPhonebookActivity

Обработчик получает только координаты касаний, а затем, сопоставляя их с заданным величинами, вычисляет, какие символы нажимает пользователь. Кроме того, если это было предварительно задано командой, то клавиатурный перехватчик может сделать скриншот области экрана, где было касание.



Интересно, что эксперты «Лаборатории Касперского» не обнаружили никакого сходства между BusyGasper и коммерческими шпионскими программами, а также другими известными вариантами шпионского ПО. В итоге специалисты полагают, что BusyGasper разработан и используется лишь одной хакерской группой. Такие факты, как отсутствие шифрования, использование публичного FTP-сервера и низкий уровень конфиденциальности операции могут указывать на то, что за малварью стоят злоумышленники невысокой квалификации.
 

Привет!

Мы группа людей которые решили помочь другим в решении их проблем, а так же пользователям с поиском самых свежих и качественных инфопродуктов. За 4 с небольшим месяца мы создали этот форум на который заходят ежедневно тысячи человек и посещаемость постоянно растёт. Мы создали панель лицензирования для защиты PHP скриптов от воровства и SEO панель для мониторинга наших сайтов и выбора верной стратегии их развития. Мы надеемся что то что мы создали пригодится Вам и возможно Вы поможете нам развиваться и совершенствоваться вместе с Вами.

Статистика форума

Темы
406.609
Сообщения
465.049
Пользователи
84.415
Новый пользователь
BirBai

Приложения форума для iOS и Android


У ркн там нет власти ;)
Приватные разговоры
Помощь Пользователи
    Вы не присоединились ни к одной комнате.