В блоге глава подразделения, Витор Вентура, пишет, что у свеженайденного трояна множество функций. Интересно, что Gplayed способен расширять свой функционал за счет плагин, т.е. его создатели использовали модульный подход. Таким образом, оригинальному приложению, установленному на устройство, уже не нужно обновляться или перекомпилироваться. Гибкость найденного трояна под Android делает его «крайне эффективным» с точки зрения совершения киберпреступлений. Кроме того, иконка приложения хакеров очень похожа на официальный магазин Google Play Store, и называется примерно также: Google Play Marketplace.
Хакеры могут использовать троян для инжектирования скриптов в систему и даже компиляции нового исполняемого кода на .NET. Пока ведется всестороннее тестирование Gplayed специалистами Cisco по безопасности, однако уже очевидно, что приложение злоумышленников достаточно мощное и потенциально опасное.
Интересно, что приложение написано на языке .NET с использованием приложений Xamarin environment for mobile. Оно включает Reznov.DLL, которое является ключевым в работе трояна. В библиотеку входит рут-класс под названием eClient, являющийся ядром приложения.
Еще одна DLL, используемая Gplayed, назвается eCommon.dll. Она поддерживает код и структуру трояна. Стоит отметить, что благодаря кросс-платформенности, программа может атаковать не только телефоны на Android, но и устройства на базе Windows. Название пакета для Android - verReznov.Coampany. Троян требует ряд разрешений, включая “BIND_DEVICE_ADMIN”, т.е. просит у пользователя дать ему уровень доступа администратора.
Любое приложение, получившее привилегии администратора, сможет полностью контролировать устройство, и, следовательно, нанести значительный ущерб: шпионить за пользователем, самостоятельно производить настройки, извлекать данные, включая СМС и контакты, собирать информацию о кредитной карте, менять пароли, блокировать устройство и даже полностью стирать с него всю информацию.
Специалисты по кибербезопасности Cisco заключают, что «дизайн и реализация» Gplayed выполнены на «необычайно высоком уровне».
.Постоянный адрес публикации: http://www.procontent.ru/news/31320.html
© Дмитрий Серпухов «Мобильный Контент»