Под видом всем известной игры «Крестики-нолики» злоумышленники распространяют троянскую программу, способную нанести значительный вред владельцам мобильных устройств под управлением ОС Android, сообщает «Лаборатория Касперского».

Попытки злоумышленников замаскировать вредоносные программы под полезные приложения встречаются так часто, что стали обыденностью, однако создатели нового мобильного троянца, получившего название Trojan-Spy.AndroidOS.Gomal.a, не только вышли на новый уровень маскировки, замаскировав свое творение под игру «Крестики-нолики», но и снабдили зловреда интересными, новыми для подобного ПО техниками.

Специалисты «Лаборатории Касперского» обратили внимание на эту игру из-за подозрительного списка разрешений, которые запрашивало приложение: игре требовался выход в Интернет, доступ к контактам пользователя и архиву SMS, а также возможность обработки звонков и записи звука.

Тщательное исследование зловреда показало, что код самой игры занимает менее 30% основного исполняемого файла. Все остальное – функционал для слежки за пользователем и кражи личной информации.

Зловред содержит ставшие уже стандартными для мобильных шпионов функции записи звука и кражи SMS, а также собирает информацию об устройстве и отправляет все полученные данные на сервер своих хозяев. Однако в троянце есть и кое-что необычное – в комплекте со зловредом поставляется целый пакет интересных библиотек, часть которого представляет собой эксплойт, необходимый для получения прав root на Android-устройстве. С расширенными правами приложение имеет доступ к различным сервисам ОС Linux (на базе которого построен Android), в частности к чтению памяти процесса и /maps.

После получения прав root троянец приступает к работе. Например, крадет почтовую переписку приложения Good for Enterprise, если оно установлено на смартфоне. Это приложение позиционируется как безопасный почтовый клиент для корпоративного использования, поэтому кража данных из него может обернуться серьезными проблемами для компании, где работает атакованный сотрудник.

Кроме того, троянец крадет информацию из Logcat – встроенного в Android сервиса логирования, используемого для отладки приложений. Очень часто разработчики оставляют вывод критически важной информации в Logcat и после релиза своего приложения. Благодаря этому троянец может украсть еще больше конфиденциальной информации из других программ.

В результате безобидные на первый взгляд «Крестики-нолики» предоставляют злоумышленникам доступ к огромному количеству личных данных пользователя и данных компании, в которой он работает.