По данным экспертов, хакеры инфицировали мобильные устройства жертв при помощи вредоносной спам-рассылки, которой подменили уведомления о проведении конференции по защите прав человека в Женеве.
В ходе атаки, злоумышленники рассылали жертвам сообщения электронной почты с названием "WUC-s Conference.apk", в котором находился вредоносный файл, размером 334326 байт. После установки бэкдора, на экране смартфона появлялась иконка приложения с названием "Conference".
Если жертва попытается запустить приложение, вирус запускает страницу с описанием предстоящего события. Причем, в описании допущена ошибка – слово "World" заменено на "Word".
Пока жертва читает поддельное уведомление, вредоносная программа сообщает об успешном инфицировании устройства командному серверу. После этого, вирус начинает собирать данные, хранящиеся на смартфоне, включая контакты, причем сохраненные и в памяти телефона, и на SIM-карте, информацию о совершенных звонках, SMS-сообщения, геолокационные данные, а также информацию о телефоне – номер, версию операционной системы, модель смартфона и версию SDK.
Исследователи отмечают, что похищенные данные не отправляются на C&C-сервер автоматически. Троян ждет команду в SMS-сообщении, и, в зависимости от того, какая команда приходит, такую информацию передает серверу в зашифрованном виде. Эксперты установили, что хакеры используют библиотеку Java Base64, разработанную Sauron Software и являющуюся свободным ПО, распространяющимся по LGPL-лицензии.
В ходе расследования атаки сотрудники ЛК установили, что C&C-сервер, на который передаются скомпрометированные данные, находится в Лос-Анджелесе, США.
SecurityLab.ru