В Google Play выявлено итальянское spyware, годами маскировавшееся под «белые» приложения

    image

    На днях объединенная команда специалистов из Security Without Borders и Motherboard опубликовала результаты анализа выявленного шпионского ПО в магазине приложений Google Play. Spyware маскировалось под обычные пользовательские приложения и было доступно всем желающим. После загрузки на телефон оно начинало следить за действиями владельца устройства.

    Указанное ПО присутствовало в Google Play в виде различных приложений, которые специалисты выделили в отдельный класс шпионского софта, назвав его Exodus. Впервые эти приложения были замечены в 2016 году. В течении двух лет злоумышленники выгрузили в Google Play более 20 Exodus-приложений. Они маскировались под приложения от мобильных операторов или софт для улучшения работы устройств (ускорители, антивирусы, оптимизаторы и т.п.).

    При запуске spyware запрашивало у пользователя доступ к мобильному номеру и IMEI. Большинство владельцев мобильных устройств не глядя кликали на подтверждение. После выполнения этой операции софт активировался, а злоумышленники начинали получать персональную информацию пользователя на свой сервер.

    Софт не был слишком популярным — каждое из приложений было скачано от 100 до 350 раз. Удивляет сам факт нахождения spyware в Google Play в течение нескольких лет.

    Все приложения были на итальянском языке. Предполагается, что разработкой софта занималась итальянская компания eSurv, работавшая в сфере видеонаблюдения. Журналистам Motherboard удалось связаться с одним из сотрудников eSurv, однако он отказался давать какие-либо комментарии на эту тему, делая упор на «конфиденциальности информации».

    Стоит отметить, что на официальном сайте eSurv был опубликован документ о том, что компания выиграла тендер полиции Италии на разработку «пассивной и активной системы перехвата». Связаны ли эти приложения с государственным заказом, неизвестно.

    После обращения Security Without Borders в службу поддержки Google приложения были удалены из каталога. Предполагается, что злоумышленники получили доступ к данным менее 1000 пользователей.
    Поделиться публикацией

    Комментарии 7

      –1
      del
        +1
        Софт не был слишком популярным — каждое из приложений было скачано от 100 до 350 раз. Удивляет сам факт нахождения spyware в Google Play в течение нескольких лет.

        Предполагается, что злоумышленники получили доступ к данным менее 1000 пользователей.

        Тут как раз удивляться и нечему — ну шлёт прога какие-то данные себе на сервер тихонько, в суд на неё никто не подаёт, трейдмарки не трогает, видимым образом правила не нарушает. Отловили чисто перебором — а как иначе?

          0
          Софт мог как-то таргетироваться на конкретных жертв, за которыми надо было следить. Отсюда и малое число пользователей. Например, он мог им ставиться, когда они оставляли ненадолго телефон без присмотра, или же используя какую-либо уязвимость.
          0

          У меня математика не сходится:
          выгрузили в Google Play более 20 Exodus-приложений
          каждое из приложений было скачано от 100 до 350 раз
          доступ к данным менее 1000 пользователей
          20*100 = 2000 > 1000

            +1
            Скачать != Запустить
            и вообще можно не пользоваться, а удалить почти сразу
              +3

              Пользователи могли устанавливать по 2 и более приложений

              +1
              После habr.com/ru/post/444970 — скромный охват.
              Но похоже на то, что приложения использовались для таргетированной слежки, за конкретными «клиентами». Отправить ссылку в смс, на приложение якобы от собственного опсоса — чуть социнжиниринга и удачи.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое