Аналитики Trustlook Labs обнаружили трояна для Android, который похищает данные из популярных мобильных мессенджеров, включая Facebook Messenger, Skype, Telegram, Twitter и так далее.
В своем отчете исследователи не упоминают о способах распространения новой малвари. Но учитывая тот факт, что изученное вредоносное приложение носит название "Облачный модуль" (Cloud Module) на китайском языке, а в Поднебесной не работает Google Play Store, можно предположить, что троян распространяется через сторонние каталоги приложений, сайты и форумы.
Изучение вредоноса показало, что он весьма прост, но при этом и эффективен. Так, после установки вредоносного приложения, троян сначала пытается внести изменения в файл /system/etc/install-recovery.sh. Если операция проходит успешно, это гарантирует малвари устойчивое присутствие в системе и запуск после каждой перезагрузки.
Закрепившись в системе, "Облачный модуль" принимается извлекать данные из популярных мессенджеров, среди которых:
Хотя воровство информации из IM – это единственная функциональность этого, казалось бы, простого трояна (что уже достаточно необычно), специалисты отмечают, что Cloud Module применяет весьма серьезные техники "маскировки" и старается затруднить работу ИБ-специалистов. К примеру, троян уклоняется от динамического анализа кода, используя антиэмулятор и обнаруживая дебаггеры. Кроме того, разработчики малвари предприняли попытку обезопасить свой код посредством шифрования и задействовали XOR.