В Google Play поймали шпиона

Специалисты Google обнаружили в собственном магазине приложений Google Play более двух десятков приложений, инфицированных новым вредоносным ПО, получившим название Lipizzan (по имени знаменитой липицианской породы лошадей). Lipizzan была посвящена отдельная презентация на завершившейся с Лас-Вегасе конференции по кибербезопасности Black Hat. Зловред обладает самыми широкими шпионскими возможностями. Он способен перехватывать разговоры и сообщения, использовать для записи камеру и микрофон инфицированных устройств, а также получать доступ к данным множества приложений, включая Gmail, LinkedIn, Messenger, Skype, Snapchat, Telegram, Viber и Whatsapp.

Первоначально Lipizzan появился в Google Play под видом приложений для создания резервных копий и очистки системы. При этом их код не идентифицировался защитными системами Google как вредоносный. Однако после установки приложения якобы для проверки лицензии обращались к командному серверу, откуда и происходила загрузка дополнительных вредоносных модулей. Все опасные приложения были оперативно удалены из Google Play. Но спустя неделю Lipizzan вернулся: на сей раз под видом приложений-блокнотов и диктофонов. По мнению исследователей, это говорит о том, что у организаторов атаки есть простой и эффективный метод внедрения зловреда в самые разные приложения-«носители». Изменился и способ маскировки вредоносных модулей. Теперь они были упрятаны глубоко внутри кода в виде зашифрованных архивов. Шпионский функционал включался лишь после обращения к командному серверу и получения ключа для расшифровки.

Вторая волна атаки также была успешно обнаружена и ликвидирована специалистами Google. В ходе презентации они не уточнили, кто может стоять за созданием и распространением Lipizzan. Но экспертам по кибербезопасности уже удалось обнаружить в коде зловреда отсылки к израильской компании Equus Technologies, которая позиционирует себя как разработчика ПО по заказу силовых структур и для обеспечения интересов национальной безопасности.