Инциденты

Find and Call: троянец в Apple Store и Google Play

Четвертого июля с нами связался наш партнер «МегаФон», являющийся одним из крупнейших сотовых операторов в России. Нас уведомили о подозрительном приложении, версии которого были обнаружены и в App Store, и в Google Play. На первый взгляд могло показаться, что мы имеем дело с SMS-червем, который распространяется посредством отправки коротких сообщений, содержащих ссылку на тело червя, всем контактам из телефонной книги.

Однако наш анализ версий приложения под iOS и Android показал, что это не SMS-червь, а троянец, который загружает телефонную книгу пользователя на удаленный сервер. А «размножение» осуществляется самим сервером, т.е. SMS спам сообщения, содержащие ссылку на приложение, отправляются сервером всем контактам из украденной телефонной книги.

Приложение называется «Find and Call» и до вечера 5 июля было доступно для скачивания и в App Store, и в Google Play. Apple и Google были уведомлены о данном инциденте.

Find and Call в App Store

Find and Call в Google Play

Фактически все комментарии пользователей (и в App Store, и в Google Play) достаточно агрессивны и содержат одну и ту же жалобу на то, что приложение рассылает SMS спам.

Примеры комментариев

После установки в меню Android/домашнем экране iOS появляется следующая иконка:

Если пользователь запустит это приложение, то его попросят зарегистрироваться в программе, используя email и телефонный номер (оба значения не проверяются на правильность). Если же пользователю после этого захочется «найти друзей в телефонной книге», то его контакты будут скрытно (в приложении нет EULA/условий использования/уведомлений) загружены на удаленный сервер в следующем формате:

http://abonent.findandcall.com/system/profile/phoneBook?sid=

На скриншотах ниже показаны куски процедур загрузки телефонной книги на удаленный сервер:

iOS

Android

Список полей, получаемых из телефонной книги:

Оба приложения также имеют функционал загрузки пользовательских GPS-координат на тот же самый сервер. Однако такая «особенность» далеко не нова для легальных или вредоносных приложений.

Итак, что же дальше? Пользователь сможет продолжить работать с программой . Однако как мы говорили, приложение крадет телефонную книгу, загружая ее на удаленный сервер. Каждая запись в телефонной книге через какое-то время получит SMS спам сообщение с предложением перейти по ссылке и загрузить приложение «Find and Call». Необходимо также упомянуть, что поле ‘from’ в спам сообщении содержит пользовательский телефонный номер. Другими словами, адресаты из телефонной книги получат спам сообщение от якобы доверенного источника.

SMS спам сообщение

Мини F.A.Q.

    • 1. Эти приложения вредоносны?

Да.

    • 2. Почему?

Оба приложения загружают телефонную книгу пользователя на удаленный сервер для использования в SMS спам рассылках. Именно поэтому мы детектим эти приложения как Trojan.AndroidOS.Fidall.a и Trojan.IphoneOS.Fidall.a.

  • Кто их создал?

Хороший вопрос. Нам удалось обнаружить еще несколько любопытных деталей. На веб-сайте этого приложения (после того, как пользователь авторизуется) есть возможность «ввода» аккаунтов социальных сетей, электронной почты (похоже, что эта информация также будет использована) и даже PayPal(!) для пополнения счета аккаунта.

Если пользователь попытается перевести некую сумму денег, то он может заметить, что попытка перевода осуществляется в компанию ‘LABWEALTH.COM PTE. LTD.’

Если зайти на веб-сайт этой организации (labwealth.com), то можно обнаружить информацию о фирме, базирующейся в Сингапуре под названием «Wealth Creation Laboratory».

Блог AppleInsider.ru опубликовал 5 июля историю о том же самом троянце. Им удалось связаться с автором Fidall и получить следующий ответ:

(c) AppleInsider.ru

Не в первый раз мы видим вредоносное приложение в Google Play, но в первый раз зловред был найден в App Store. Стоить сказать, что до этого не было ни одного серьезного инцидента, связанного с обнаружением вредоносного ПО в App Store с момента его запуска 5 лет назад. Но главной проблемой в этом случае по-прежнему является конфиденциальность данных пользователя. Не в первый раз мы сталкиваемся с историями, связанными с персональными данными и их утечкой. Однако в первый раз мы имеем дело с подтвержденным случаем явно злонамеренного использования таких данных.

Да, эти вредоносные приложения не имеют явной «киберкриминальной» подоплеки. Но зловред есть зловред, и в данном случае вредоносная программа крадет телефонную книгу пользователя, которая впоследствии используется для рассылки SMS спама. И мы уверены в том, что на такие инциденты всегда должен быть быстрый и жесткий ответ. Точка.

Огромное спасибо моим коллегам Игорю Суменкову, Александру Гостеву, Сергею Голованову, Роману Унучеку и Костину Райю. А также iPad 2, Samsung Galaxy SIII и iPod Touch.

P.S.

Есть еще одна любопытная деталь про Fidall. В коде можно найти такие шестнадцатиричные значения как ‘0xBEEFDEAD’ (BEEFDEAD -> BEEF DEAD -> «мертвая говядина») или ‘0xFACEDEAD’ (FACEDEAD -> FACE DEAD -> «мертвое лицо»).

«Создание» таких фраз с помощью шестнадцатиричных чисел далеко не ново. И во многих случаях подобные «шутки» обнаруживались в различных вредоносных приложениях.

Find and Call: троянец в Apple Store и Google Play

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике