Новости по теме «Выявлен зловред Android, ворующий деньги с PayPal»

В настоящее время речь идёт об инфицировании более чем 10 миллионов Android-устройств в 70 странах. А жертвы потеряли миллионы долларов.

Исследователи в отечёте обозначили, что кампания по распространению GriftHorse велась с ноября 2020 по апрель 2021 года. Когда пользователь устанавливает одно из зловредных приложений, GriftHorse генерирует ряд всплывающих уведомлений, которые завлекают пользователей разными призами и скидками. Те, кто соглашается на предложение отправляют на веб-сайт, где его просят ввести номер телефона для получения спецпредложения.

В реальности же GriftHorse подписывает устройство на премиальный сервис SMS, который стоит в месяц 35 долларов. Предполагается, что таким образом операторы GriftHorse заработали от 1,5 до 4 миллионов долларов, а первые жертвы потеряли более 230 долларов, если не остановили этот обман.

Исследователь Zimperium Аазим Ясвант и Нипум Гупта отметили, что это весьма грамотно построенный зловред. Операторы применяли качественный код и широкий спектр веб-сайтов и вредоносных приложений, которые покрывают практически каждую категорию. Исследователи оповестили Google об этом факте, и последняя уже удалила приложения из Play, однако их по-прежнему можно встретить в сторонних магазинах.

Эта программа получила название Google Play Protect. Она обеспечит лучшую защиту от мошенничества на устройствах с Google Play Services. Пока программа тестируется в Сингапуре, после чего будет распространена и на другие регионы. Суть программы заключается в анализе и блокировании инсталляции приложений, которые требуют чувствительные разрешения, которые обычно можно встретить в приложениях финансового мошенничества.

К таким разрешениям относятся RECEIVE_SMS, READ_SMS, BIND_Notifications и Accessibility. Обычно такие разрешения мошенническим приложениям нужны, чтобы получить коды подтверждения, направленные для настоящих финансовых приложений.

Сейчас Google ведёт переговоры с правительством и компаниями Сингапура, чтобы оценить эффективность новой системы безопасности, а также анализирует необходимость возможных изменений. И хотя работа пока не закончена, Google уже рекомендует разработчикам приложений, которых это может затронуть, изменить статус классификации своих приложений для корректной работы с Google Play Protect.

Компания уже предлагает собственный браузер Privacy Browser, который блокирует различные трекеры на сайтах. Теперь же разработчики пошли ещё дальше, внедрив функцию под названием App Tracking Protection. Эта функция входит в состав браузера DuckDuckGo для Android, и по своей сути повторяет возможности новой функции iOS, позволяя напрямую блокировать слежку за пользователями сторонними приложениями, установленными на телефоне. Приложение DDG позволяет выявлять рекламные трекеры в других приложениях и прекращать передачу данных от них рекламным компаниям, включая Google и Facebook.

Обновлённое приложение DuckDuckGo сможет предложить панель управления, где будет показано, какое приложение пытается передать данные слежения, с возможностью эффективной блокировки в реальном времени благодаря собственной работе в фоне. Периодически инструмент будет показывать обобщённый отчёт по заблокированным трекерам.

К сожалению, функция повышения приватности пока находится на этапе бета-тестирования и требует ручной настройки. Подписаться на ожидание этой функции можно в настройках браузера DuckDuckGo Android в разделе «Приватность» / «Защита от трекинга приложений».

Компания Microsoft начала предлагать разработчикам инструмент Windows Subsystem for Android в своём магазине Store. Программу можно использовать на устройствах с Windows 10, работающей на процессоре x64 или Arm64, либо на Xbox One. Правда, инструмент пока «доступен на PC» и отсутствует в версии Microsoft Store для Xbox.

Почему Microsoft заявила консоли Xbox, как совместимые с подсистемой Android. Возможно, Microsoft хочет в будущем привлекать разработчиков Android-игр для включения их проектов в свои консоли, чтобы лучше конкурировать с Sony PlayStation 5.

Согласно политике App Store, она берёт комиссию со всех платежей 30%, что позволяет генерировать компании огромную прибыль. Её конкурент Google ведёт аналогичную политику, однако крупные издатели на Play Store, такие как Spotify, Netflix и ряд других, могли обходить эти условия, предлагая пользователям заплатить напрямую платёжной картой. Но похоже, что впредь на это закрывать глаза компания не намерена.

По информации Bloomberg, Google хочет обновить на этой неделе требования к издателям, согласно которым, все внутренние платежи обязаны проходить исключительно через платёжную систему Pay. Из этих платежей Google будет брать комиссию 30%. Компания даст разработчикам время на переделку приложений и изменение способа платежей. За нарушение этой политики поначалу приложения из магазина удаляться не будет.

При этом в Google отметили, что не узурпируют платежи, поскольку разработчики могут публиковать свои приложения в других магазинах, и у пользователей всегда есть альтернативные платформы получения этих приложений. Фактически, все новые телефоны выпускаются с двумя предустановленными магазинами, а потому у разработчиков есть широкий выбор.

Разработчик сообщил, что удалил множество участков кода, которые отправляли персональные данные на удалённый сервер без согласия пользователей.

«Мы не сканируем данные в вашем телефоне или вашем облачном пространстве, и мы не отслеживаем ваше перемещение сотни раз в день или собираем данные о том, что вы делаете со своими приложениями».

Телефон Firephone 3 с e/OS доступен к покупке за 480 евро, «на 30 евро дороже стандартного Fairphone 3 с флёром Googl’а». Установить /e/OS на Fairphone 3 можно вручную через специальный инсталлятор на сайте.

Смартфон Fairphone 3 предлагает модульную конструкцию с высокой ремонтопригодностью. Он «изготовлен из бесконфликтных, перерабатываемых материалов, выбранных с высокой ответственностью».

Что касается аппаратного обеспечения, то телефон имеет экран FullHD+ (2160×1080 пикс.) с защитой Gorilla Glass, заднюю камеру Sony разрешением 12 Мпикс., батарею ёмкостью 3000 мА×ч, накопитель на 64 ГБ с расширением через microSD. Устройство основано на процессоре Qualcomm Snapdragon 632 и имеет 4 ГБ оперативной памяти.

Из дополнительных функций можно отметить 8 Мпикс. фронтальную камеру, NFC и поддержку двух SIM-карт.

Письмо гласит, что OEM-производители телефонов с Android предустанавливают в систему свои приложения, которые нельзя удалить из-за их системных привилегий, и которые обходят модель разрешений в Android. Таким образом, эти приложения получают доступ к микрофону, камере и средствам геолокации, собирают пользовательские данные и передают их OEM без согласия самих пользователей.

Группа просит Google внести некоторые изменения в то, как Android поддерживает предустановленные приложения. Они просят Google обеспечить возможность полной деинсталляции предустановленных приложений. Сейчас некоторые производители дают возможность отключить такие приложения, однако их службы продолжают работать в фоне и собирать информацию.

Кроме того, в письме выражено требование обеспечить предустановленным приложениям тот же уровень безопасности, что и приложениям из Google Play Store, а также гарантировать их обновление из Google Play, даже если пользователь не залогинился. В дополнение, Google должен отказывать в сертификации OEM-производителям, если они будут использовать пользовательские данные.

Вирус получил название xHelper. Впервые он появился в марте, после чего начал медленное распространение до 32 тысяч поражённых устройств в августе и 45 тысяч устройств в октябре.

По словам Symantec, этот вирус находит ежедневно 131 новую жертву. Наибольшее распространение xHelper получил в Индии, США и России.

Как сообщает Malwarebytes, инфекция распространяется благодаря переводу пользователей на страницу, где выложено некое приложение для Android. На этом сайте даются инструкции, как установить приложение из неофициального источника. А вот код, скрытый в этом приложении, и содержит троян xHelper.

За ним пока не выявлены разрушительные действия. По данным Malwarebytes и Symantec, большую часть своей жизни этот вирус занимается принудительной демонстрацией рекламы, а также показывает спам в области уведомлений. Эта реклама и нотификации переводят пользователей на Play Store, где жертву просят установить другое приложение. Таким образом, создатели xHelper зарабатывают деньги на комиссиях с установки.

Самое неприятное в XHelper то, что он работает с устройством как приложение из прошивки и устанавливает себя в виде отдельного сервиса. Более того, приложение нельзя удалить, поскольку троян постоянно переустанавливает себя, даже после сброса телефона до заводских настроек.

Согласно отчёту, приложение CamScanner было честным, без подозрительной активности. Как и в прочих приложениях, в этом отображалась реклама и предлагались покупки. «Однако в какой-то момент всё изменилось, и свежая версия приложения поставлялась с рекламной библиотекой, содержащей вредоносный модуль».

В приложение был добавлен троян, названный лабораторией Trojan-Dropper.AndroidOS.Necro.n. Сам он не выполнял вредоносных функций, но загружал зловреды другого типа, включая те, что внедряют свою рекламу, подписываются на фейковые рассылки или воруют банковские данные. Раньше трояны подобного типа лаборатория выявляла «предустановленными в некоторых приложениях на китайских смартфонах».

Подозрительную активность заметили некоторые пользователи, о чём написали в комментариях к приложению, чтобы предупредить других пользователей. Разработчики исправили последнюю версию, исключив зловреда, однако Kaspersky отмечает, что для разных устройств версии сильно отличаются, а потому в некоторых случаях вредоносная активность ещё может проявляться.

Компания Check Point выпустила пресс-релиз, в котором описала действия вируса. Согласно её информации, как только зловред установлен, он начинает искать другие приложения общего назначения и подменять их на заражённые версии. Эти заражённые Agent Smith приложения начинают отображать поддельную рекламу, нацеленную на финансовые манипуляции.

Глава Check Point по выявлению мобильных угроз Джонатан Шимонович прокомментировал отчёт: «Вредоносное ПО атакует пользовательские приложения по-тихому, что оставляет обычных пользователей Android сражаться с подобными угрозами самостоятельно».

Большинство инфицированных устройств расположены в Индии и близлежащих странах, поскольку вирус распространялся через 9 приложений, популярных в этом регионе. Однако основы этого зловреда выявлены в Китае. В Google Play Store найдены 11 инфицированных приложений, однако компания Google уже удалила их из своего магазина.

Для борьбы с подобными угрозами Шимонович рекомендует внимательно оценивать устанавливаемые приложения, и не ставить приложения из неизвестных источников.

Исследователи из Международного Института Компьютерных Наук изучили 88 000 приложений из магазина Google Play и установили, что 1325 из них могут получать данные даже, если им не было выдано разрешение.

Серж Эгельман, директор МИКН по исследованиям в области практической безопасности и приватности на конференции PrivacyCon задал риторический вопрос: «Если разработчики приложений могут обойти систему, тогда зачем спрашивать у пользователей разрешения, если оно, в целом, не имеет смысла?»

Некоторые из этих приложений собирали данные из Wi-Fi подключений и метаданные, хранимые в фотографиях. К примеру, Shutterfly брал GPS локации из фотографий, даже если пользователь запрещал приложению получать геоданные. Другие приложения получали данные из третьих, которые имели разрешение. Если пользователь разрешал приложению доступ к SD-карте, другое приложение могло делать то же самое. Так поступали Samsung Health и Browser.

Исследователи сообщили в Google о данной проблеме. Сама Google пообещала решить проблему в Android Q. В ней приложения не смогут получать геолокацию из фотографий, а пользователи будут вынуждены давать разрешение на сбор данных о местоположении через Wi-Fi.

Неприбыльная организация e Foundation была создана в 2018 году. Её миссия — продвижение ОС с открытым исходным кодом и другими мобильными сервисами, которые уважают приватность и просты в использовании. Когда организация выпустила бета версию такой ОС, многие люди восприняли её с одобрением. В результате, компания решила выпускать телефоны с предустановленной /e/OS. Примечательно, что телефоны будут восстановленные, т.е. отремонтированные после заводского брака. Отмечается, что такой подход экономичен и экологичен. Пока организация готовит несколько моделей восстановленных телефонов: Samsung Galaxy S7 32GB за 279 евро, Samsung Galaxy S7 Edge 32 GB за 299 евро, Samsung Galaxy S9 64Gb за 499 евро или Samsung Galaxy S9+ за 549 евро. На смартфоны распространяется годовая гарантия. Однако пока их нет, и всем заинтересованным предлагается встать в бесплатную ни к чему не обязывающую очередь.

Что касается /e/OS, то она включает приложения, заточенные на приватное окружение. Система является форком Android и содержит ряд стандартных приложений из этой системы, включая контакты, часы, файловый менеджер, калькулятор, клавиатуру и так далее. Также имеется «отгугленный» форк Chromium и «форк для почты K9». Большинство предустановленных приложений имеют открытый исходный код, кроме Карт и Погоды. Все приложения не передают данные в Google или другую большую технологическую компанию.

В скором времени разработчики планируют обновить версию /e/OS до Android Pie, обеспечить возможность удаления предустановленных приложений, ввести несколько пользовательских профилей и поддержку веб-приложений. Также они надеются на сетевые функции приватности, такие, как VPN.

Более подробно с инициативой можно ознакомиться на сайте организации /e/.

Как известно, адреса криптокошельков представляют собой длинные строки символов. И конечно, чтобы не вводить их вручную, люди просто копируют и вставляют длинный адрес. Этим и пользуется зловред, просто подменяя скопированный адрес на один из кошельков мошенников, в надежде, что человек не заметит подмены.

Зловреды, которые работают таким образом — не новы. В позапрошлом году ПО такого же действия было выявлено для Windows, а в прошлом — для Android в одном из сторонних магазинов. И только впервые подобный зловред просочился на Google Play Store.

По данным ESET, приложение маскировалось под другое средство работы с криптовалютами под названием MetaMask, которое является честным средством для работы с Ethereum. Однако MetaMask существует лишь в виде аддона к популярным браузерам, его не существует в виде отдельного приложения.

Поддельный MetaMask появился на Play Store 1 февраля. После обращения ESET компания Google удалила его, однако, сколько людей успело им воспользоваться и каковы суммы ущерба, вряд ли кто-то узнает.

Алгоритм предназначен для бюджетных телефонов и смарт-устройств, которые не имеют аппаратного обеспечения для эффективного локального шифрования данных. Разработка позволит сделать лоу-энд-устройства более безопасными, чем их предшественники, которые не имели шифрования данных вовсе.

Директор по стратегии мобильной безопасности, безопасности Android и приватности Юджин Лидерман заявил: «Мы надеемся, что Adiantum сделает шифрование на всех устройствах демократичным. Как и покупка телефона без текстовых сообщений, не может быть исключений в обеспечении безопасности в ущерб производительности устройства. Каждый должен обладать приватностью и безопасностью, независимо от ценника за телефон».

По словам разработчиков, Adiantum является идеальным решением для устройств с недорогими процессорами, такими, например, как ARM Cortex-A7, которые не имеют аппаратной поддержки AES. В отличие от множества смартфонов на системе Android Go, некоторые смарт-часы и телевизоры имеют подобные процессоры, так что они также получат преимущества от внедрения Adiantum.

Объясняя название протокола шифрования, Google сообщила, что Adiantum назван в честь рода папоротника адиантум, который во флориографии олицетворяет искренность и осмотрительность, что делает его вполне подходящим именем.

Исследователи Trend Micro нашли пару вредоносных инструментов для Android — Currency Converter и BatterySaverMobi, которые выполняют свою вредоносную функцию только, если устройство движется.

Эта техника съёма данных с датчиков движения позволяет прятать от исследователей свой противоправный функционал, поскольку обычно исследование приложений выполняется в эмуляторе, лишённом этих датчиков.

Выявленные безопасниками приложения снимают данные с датчиков движения, таким образом определяя, что они стоят на настоящем телефоне. После подтверждения, они обманным путём устанавливают зловред Anubis, либо иной вредоносный пакет, маскируя его как системное обновление.

Примечательно, что этот процесс также скрытый. «Одним из способов, которым разработчики прятали вредоносный сервер, стало кодирование страницы запроса в Telegram и Twitter. Дроппер банковского зловреда будет запрашивать Telegram или Twitter после получения разрешения на запуск на устройстве» — отметили в Trend Micro. Другим способом установки зловреда стало старое (не)доброе поддельное сообщение об обновлении.

Всё это в очередной раз указывает, что нам нужно проявлять особое внимание, устанавливая приложения и давая им разрешения на дополнительные действия.

Томас Брюстер напечатал свою голову на 3D принтере и протестировал систему распознавания лица на четырёх телефонах с Android и iPhone X.

Из этой пятёрки только iPhone X не удалось одурачить, а вот устройства с Android открылись сразу же. Компания Apple возлагала на распознавание лиц большие надежды и вкладывала большие ресурсы. И сейчас компания готова противостоять хотя бы самым простым способам обмана.

В то же время Android больше полагается на сканер отпечатков пальцев. Посмотрите на Pixel 3. В нём нет распознавания лица по умолчанию, но зато его добавили в свои флагманские устройства Huawei, Samsung и OnePlus. Но работает она не так хорошо, как у Apple.

Не секрет, что распознавание лица пока находится на ранних этапах освоения, чем активно пользуются правоохранительные органы.

Эксперт обнаружил в Google Play 13 игровых приложений выпущенных одним и тем же разработчиком. Две из этих игр рекламировались самим Google Play, находясь в разделе «Топ платных». Это игры — автосимуляторы, однако они являются зловредами. По сумме инсталляций инфицированными оказались 580 тысяч устройств.

Загружавшие приложения надеялись погонять на грузовике или автомобиле, но по факту игра постоянно вылетала. В реальности игра загружала данные с другого домена, зарегистрированного на разработчика приложения в Стамбуле. Что делает зловред пока не выявлено. Ясно, что он загружается вместе с Android и имеет полный доступ к сетевому трафику, что позволяет автору воровать секретные данные.

Домен зарегистрирован на Мерта Озека, но на электронные письма он не отвечает. Представитель Google Скотт Вестовер подтвердил, что приложение нарушает правила Play Store. Компания Google достаточно часто подвергается критике за то, что допускает к публикации вредоносные приложения. Фирма создала специальный сервис для проверки злонамеренных действий, но, похоже, он не стал панацеей. Тем временем блог Лукаса продолжает полнится вредоносными приложениями из Google Play.

Данные изменения стали реакцией на пятимиллиардный штраф Европейской Комиссии за «нелегальное внедрение» браузера Chrome и поисковых приложений в Android.

Исторически Google не взымал плату за Android и его приложения, зарабатывая на своём браузере и поисковой системе. Однако их разделение меняет уравнение, поэтому теперь компания требует оплаты за пользование, например, Play Store.

Базовая операционная система Android остаётся бесплатной и открытой, однако если производитель телефона или планшета решит установить приложения Google и Play Store, ему придётся платить лицензионные отчисления в Европе. При этом возможно лицензирование Chrome и поисковой системы по отдельности.

Пока не ясно, сколько будут платить производители, но так или иначе, сервисы Google теперь стоят денег.

Инфицированные приложения были выявлены в лаборатории Unit 42 Palo Alto Networks. Эта компания предупредила Google о приложениях, которые содержат исполняемые файлы, способные нанести вред Windows машинам.

Вы наверно озадачены, как вирус для Windows может навредить Android, ведь это абсолютно разные платформы. И вы правы — никак. Но зачем же хакерам атаковать несовместимые экосистемы? Дело в том, что это не была спланированная атака. Просто компьютеры, на которых создавались эти приложения были инфицированы, и, соответственно, все файлы, поступившие от них, также заражены.

В Unit 42 считают риск от подобной уязвимости крайне высоким. Разработка приложений является крайне важным этапом, и если на машинах разработчика не обеспечена должная безопасность, это может вылиться в огромные проблемы. Этот урок уже усвоили все, благодаря NotPetya, который распространялся, среди прочих путей, через заражённые обновления ПО. В данной ситуации всем просто повезло, что платформа вируса не совпала с платформой эксплуатации.

Популярность Android быстро развивается благодаря дешёвой, а порой, и бесплатной экосистеме. Это создало ситуацию перепроизводства и выпуска контента сомнительного качества, в то время как Apple жёстко цензурирует качество приложений для своей среды.

Хотя Android и пользуется намного большей популярностью, денег приносит больше App Store. Так, за первое полугодие владельцы устройств Apple потратили 22,6 миллиарда долларов, в то время как пользователи Android потратили 11,8 миллиарда на всех платформах дистрибуции приложений, включая Play Store и Amazon App Store. Часть причин относительно низких продаж кроется в отсутствии сервисов Google в Китае, где доля продаж Apple составляет 31,7%, но даже не учитывая рынок Китая, Apple всё равно на коне.

На объём продаж также влияют и другие факторы. К примеру, возможность сторонней установки приложений на устройства Android, что означает риск пиратства. У Apple же есть интересные предложения по оплате потоковых сервисов с телефонного счёта, например, Netflix.

Несмотря на такую разницу, Google Play Store за год сгенерировал на 29,7% больше прибыли. Рост Apple составил 26,8%. Такими темпами Google вряд ли догонит Apple по объёмам продаж в магазине приложений, особенно на фоне дальнейшей фрагментации устройств, вызванной внедрением Chrome OS на планшеты.

Эксперты в области безопасности ThreatFabric выявили ПО под названием MysteryBot, которое включает вымогатель, кейлоггер и банковый троян. Исследователи нашли явную связь между банковским трояном LokiBot и новым зловредом.

Так чем же опасен MysteryBot? Он может контролировать инфицированные устройства и управлять ими с возможностью чтения сообщений, сбора информации о контактах и кражи важных электронных писем.

Если LokiBot атаковал только старые версии ОС, то новый MysteryBot способен работать на самых новых версиях Android, включая Android 7 и Oreo.

В приложении используется оверлейный экран, который отображает фейковые страницы логина поверх обычных приложений Android. Таким образом киберпреступники могут воровать важные данные пользователей.

Зловред под названием Skygofree был разработан ещё в 2014 году и до сегодняшнего дня был переделан много раз, превратившись в шпионящего монстра. В Kaspersky его характеризуют как «многоэтапное шпионское ПО, предоставляющее атакующему полный удалённый контроль над инфицированным устройством».

Средство Skygofree способно записывать аудио через микрофон устройства при нахождении жертвы в определённом месте, способно передавать сообщения из WhatsApp, получая к нему доступ через Accessibility Services. Также Skygofree может автоматически подключать устройство к Wi-Fi сети для передачи ещё большего объёма шпионских данных и управления.

Если этого мало, то исследователи выявили в Skygofree возможность захвата изображений, видео, событий календаря и кражи деловой информации, хранимой на устройстве.

Необычность зловреду придаёт его ориентированность на устройства Huawei, где он имеет системный приоритет и не отключается даже в режиме энергосбережения.

В Kaspersky отмечают, что Skygofree был, скорее всего, разработан в Италии и распространился по миру через подставные сайты сотовых операторов. Заказчиками зловреда, вероятнее всего, являются полиция и правительственные учреждения.

Компания собирает данные о вашем местоположении и перемещениях, даже при выключенной службе геолокации, даже без запуска приложений и даже без SIM карты. Это происходит с начала года, когда Android начала собирать сведения о близлежащих вышках сотовой связи, отправляя информацию назад в Google.

В ответ на запрос Quartz в Google сообщили: «Адреса сотовых вышек были включены в информацию, отправляемую системой в Google в целях использования её в push-уведомлениях и сообщениях на смартфонах Android ещё 11 месяцев назад. Она никогда не хранилась и не использовалась, и сейчас компания предпринимает шаги для прекращения этой практики после контакта с Quartz. К концу ноября телефоны Android больше не будут отправлять в Google данные о положении сотовых вышек, по крайней мере, как часть обычного сервиса».

В Quartz отметили, что не понимают, каким образом эти данные могут использоваться для улучшения доставки сообщений, зато отметили явную угрозу приватности, ведь указание сотовых вышек позволяет определить положение пользователя, а в густонаселённых районах с точностью до пары десятков метров.

На сей раз речь идёт о шпионе SonicSpy. Его код был выявлен в большом числе приложений в магазине, но чаще все он встречается в приложении Soniac — мессенджере, основанном на Telegram. Он работает как положено, но выполняет в фоне очень неприятные действия.

Фирма Lookout, занимающаяся вопросами безопасности, установила, что семейство SonicSpy выполняет 73 различные инструкции, включая создание фото, запись аудио, совершение исходящих звонков, отправка текстовых сообщений, а также запись информации, найденной на устройстве. Всё это осуществляется, безусловно, без ведома владельца устройства.

Предполагается, что SonicSpy разработан в Ираке. Появившись на Play Store в феврале, он распространился на тысячи приложений. Учитывая появление подобных зловредов, антивирус на смартфоне уже не выглядит лишним.

Интернет-гигант установил, что шпион, названный Lipizzan, связан с израильской компанией Equus Technologies, занимающейся кибероружием. Разоблачение состоялось на фоне поиска другого Android шпиона Chrysaor, который связывают с другой компанией занимающейся кибероружием, NSO Group.

Средство Google Play Protect выявило Lipizzan в 20 различных приложениях, которые могли быть распространены и нацелены на более чем 100 устройств.

Первая часть шпионского инструмента носит невинное название, вроде Backup или Cleaner, и располагается на Google Play. После установки приложение загружается и загружает второй этап «лицензионной верификации», который и заражает устройство. Затем, если инфицирование прошло успешно, вирус получает рут-доступ к устройству, используя известные уязвимости, начинает извлекать данные и передавать их на командный сервер.

Среди извлекаемых данных исследователи обнаружили запись с микрофона устройства, мониторинг местоположения, снятие скриншотов, фотографирование с камеры устройства, кражу информации об устройстве и файлах и кражу пользовательской информации, включая контакты, журналы звонков  текстовые сообщения. Также шпион может собирать данные из приложений Gmail, LinkedIn, Messenger, Skype, Snapchat, Viber и WhatsApp.

Компания Google сообщила, что заблокировала разработчиков и приложение в экосистеме Android. Средство Google Play Protect проинформировало пострадавших пользователей и удалило приложение Lipizzan.