Windows-троян DualToy без участия пользователя загружает приложения на iOS- и Android-устройства

Windows-троян DualToy без участия пользователя загружает приложения на iOS- и Android-устройства

 Злоумышленники используют DualToy еще с января 2015 года, однако в первоначальном виде он мог инфицировать только Android-устройства. Спустя шесть месяцев после выхода первой версии вышла вторая с поддержкой iOS, однако количество зараженных устройств стало стремительно расти только сейчас. По данным исследователей, в настоящее время насчитывается порядка 8 тыс. образцов DualToy.

 Вредонос написан на C++ и Delphi. Инфицировав систему, он прежде всего загружает и устанавливает Android Debug Bridge (ADB) и драйверы iTunes для Windows. Данные приложения нужны трояну для взаимодействия с любым подключенным к компьютеру устройством. Каждый подключенный к компьютеру смартфон или планшет DualToy по умолчанию воспринимает как устройство, принадлежащее владельцу зараженного ПК, и пытается использовать хранящиеся на компьютере данные для его аутентификации.

 Получив доступ к устройству, троян подключается к своему C&C-серверу, загружает список необходимых для установки приложений, скачивает их и устанавливает на мобильное устройство жертвы. С целью избежать трудностей при установке приложений на Android-смартфон DualToy также загружает с C&C-сервера и запускает специальный код. Данный код предоставляет трояну права суперпользователя, благодаря чему он может в фоновом режиме устанавливать на устройство любые программы без участия его владельца.

 В случае с iPhone и iPad вредонос загружает и запускает код, собирающий такую информацию, как IMEI, IMSI, ICCID, серийный номер устройства и номер телефона. Предназначение этой операции пока неизвестно. С зараженных iOS-устройств DualToy также похищает идентификатор Apple ID и пароль пользователя и отправляет их на свой C&C-сервер.

Securitylab