Мониторинг или?
Эксперты «Лаборатории Касперского» опубликовали анализ новой вредоносной программы для ОС Android MonitorMinor, которая шпионит за жертвами и отслеживает всю их активность в Gmail, WhatsApp, Instagram и Facebook.
MonitorMinor эксперты «Лаборатории» отнесли к так называемому «сталкерскому» ПО (Stalkerware). Такие программы используются для адресной слежки за конкретными людьми — иногда за членами семьи, иногда за коллегами по работе. Название MonitorMinor («Мониторинг несовершеннолетнего»), видимо, призвано придавать этому вредоносу оттенок солидности. В некоторых случаях подобные разработки распространяются коммерческим порядком, но чаще всего это обычное шпионское ПО, распознаваемое защитными средствами как вредоносное.
MonitorMinor стоит особняком среди подобных программ: при определенных условиях он позволяет перехватывать еще и сообщения в мессенджерах. Но только в тех случаях, если на мобильное устройство установлена утилита, которая обеспечивает root-доступ к операционной системе. Иначе говоря, смартфон должен быть предварительно рутован, чтобы MonitorMinor мог выполнять все свои функции. Впрочем, и без этого вредонос представляет собой довольно эффективную шпионскую программу.
MonitorMinor получает повышенные привилегии и полный доступ к приложениям Gmail, Instagram, Facebook, Viber, Hangoutes, Skype, Snapchat, JusTalk, Botim, Kik, Line: FreeCalls & Messages и Zalo — VideoCall.
MonitorMinor также способен извлекать файл /data/system/gesture.key, в котором хранится хэш-сумма пароля или графического ключа для разблокировки устройства. Это первый пример, когда Stalkerware оказывается способен на такое.
Механизм сохранности присутствия в системе отличается высокой эффективностью: вредонос перемонтирует загрузочный раздел из режима read-only (только чтение) в read/write (чтение и запись), затем копирует себя в него, удаляет свою копию из пользовательского раздела и снова монтирует загрузочный раздел в режим read-only.
Собственными средствами операционной системы эту шпионскую программу не удалить.
И снова Accessibility Services
MonitorMinor использует API Accessibility Services (службы поддержки специальных возможностей) для перехвата событий в контролируемых приложениях, так что даже в отсутствие root-доступа программа способна довольно эффективно выполнять свои задачи на любых устройствах. Тот же API используется для реализации кейлоггера и перехвата содержимого буфера обмена.
Еще в 2017 г. Google рассматривал возможность ограничить разработчиков ПО в использовании Accessibility Services, однако, как легко заметить, злоумышленники до сих пор злоупотребляют данными функциями.
С помощью MonitorMinor злоумышленник может направлять контролируемому устройству команды через SMS, в режиме реального времени просматривать видео с камер смартфона и записывать звук, просматривать историю браузера Chrome, статистику использования некоторых приложений, видеть содержимое накопителя смартфона, а также просматривать список контактов и системные логи.
Большая часть установок этого вредоноса приходится на Индию (14,71%), и, по всей видимости, в Индии он и был написан: в коде программы обнаружен «забитый» почтовый адрес в Gmail с индийским именем.
На втором месте по количеству заражений Мексика (11,76%), далее идут Германия, Саудовская Аравия и Великобритания.
«По идее, подобные программы применяются для так называемого “родительского контроля”, но данная разработка явно выходит за какие бы то ни было пределы “мониторинга несовершеннолетних”, — считает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Предназначена она для сталкинга или нет, эта программа представляет собой весьма эффективный инструмент для шпионажа за конкретными людьми, и именно в таком качестве, скорее всего, и применяется. Иначе говоря, это инструмент целевой атаки».