Find and Call - rosyjski wieloplatformowy trojan, kt贸ry przedosta艂 si臋 do oficjalnych sklep贸w App Store oraz Google Play

4 lipca eksperci z Kaspersky Lab zostali poinformowani przez jednego z najwi臋kszych rosyjskich operator贸w kom贸rkowych - MegaFon - o podejrzanej aplikacji Find and Call, kt贸ra pojawi艂a si臋 w oficjalnych sklepach Apple App Store oraz Google Play. Po przeprowadzeniu analizy przez specjalist贸w z Kaspersky Lab okaza艂o si臋, 偶e Find and Call jest wieloplatformowym trojanem, kt贸ry kradnie ksi膮偶ki adresowe z zainfekowanych smartfon贸w dzia艂aj膮cych pod kontrol膮 systemu iOS oraz Android i wysy艂a spamowe wiadomo艣ci SMS.

Rosyjskoj臋zyczni u偶ytkownicy mogli natrafi膰 na trojana Find and Call w sklepach App Store oraz Google Play. Aplikacja rzekomo oferowa艂a mo偶liwo艣膰 bezp艂atnego rozmawiania ze znajomymi.


Trojan Find and Call w sklepie App Store


Po instalacji ikona aplikacji pojawia艂a si臋 na ekranie zainfekowanego smartfona.

 
Trojan Find and Call zainstalowany na smartfonach, od lewej: Android, iOS


Jak dzia艂a Find and Call?

Po uruchomieniu aplikacja prosi u偶ytkownika o dokonanie rejestracji przy u偶yciu adresu e-mail i numeru telefonu kom贸rkowego. Nast臋pnie u偶ytkownik otrzymuje mo偶liwo艣膰 "poszukania znajomych w ksi膮偶ce telefonicznej" i je偶eli si臋 na to zdecyduje, trojan ukradkowo pobiera wszystkie kontakty i wysy艂a je na serwer kontrolowany przez cyberprzest臋pc贸w. Aplikacja nie wy艣wietla 偶adnej informacji na ten temat, 偶adnej umowy ani 偶adnych warunk贸w, na jakich przechowywane b臋d膮 dane pobrane z telefonu. Ca艂y proces jest niezauwa偶alny dla u偶ytkownika. Dodatkowo, trojan pobiera i wysy艂a do cyberprzest臋pcy informacje o wsp贸艂rz臋dnych GPS zainfekowanego urz膮dzenia.

Co dzieje si臋 dalej? Dane ukradzione z zainfekowanych smartfon贸w s膮 wykorzystywane przez cyberprzest臋pc贸w do przeprowadzania kampanii spamowych. Ka偶da osoba znajduj膮ca si臋 na li艣cie kontakt贸w zainfekowanego telefonu otrzyma wiadomo艣膰 SMS z zaproszeniem do pobrania i zainstalowania aplikacji Find and Call. Warto wspomnie膰, 偶e informacja o nadawcy jest fa艂szowana i zawiera numer telefonu ofiary. Innymi s艂owy, odbiorca b臋dzie my艣la艂, 偶e SMS zosta艂 wys艂any przez jego znajomego.

Kto stworzy艂 trojana Find and Call?

Strona aplikacji pozwala (po zalogowaniu si臋) na wprowadzenie dodatkowych informacji o u偶ytkowniku, takich jak konta w serwisach spo艂eczno艣ciowych, konta e-mail, a nawet konto PayPal. Gdy u偶ytkownik spr贸buje doda膰 pieni膮dze na swoje konto aplikacji Find and Call, zauwa偶y, 偶e pieni膮dze trafiaj膮 do organizacji o nazwie LABWEALTH.COM PTE. LTD. Po wej艣ciu na stron臋 labwealth.com mo偶na si臋 przekona膰, 偶e pe艂na nazwa firmy to "Wealth Creation Laboratory", a jej siedziba znajduje si臋 w Singapurze.

Po szybkiej interwencji operatora MegaFon, ekspert贸w z Kaspersky Lab, a tak偶e firm Apple i Google, aplikacja zosta艂a skasowana ze sklep贸w App Store oraz Google Play.

Warto wspomnie膰, 偶e chocia偶 szkodliwe oprogramowanie w sklepie Google Play nie jest nowo艣ci膮, tego typu aplikacja nie pojawi艂a si臋 nigdy jeszcze w App Store. Od pi臋ciu lat - kiedy mia艂a miejsce premiera oficjalnego sklepu z aplikacjami Apple - nie zarejestrowano 偶adnego incydentu z udzia艂em szkodliwego oprogramowania dla platformy iOS. Mamy zatem do czynienia ze swego rodzaju precedensem.

"Chocia偶 zagro偶enie zwi膮zane z trojanem Find and Call dotyczy艂o wy艂膮cznie rosyjskoj臋zycznych u偶ytkownik贸w smarfon贸w i zosta艂o ju偶 za偶egnane, cyberprzest臋pcy po raz kolejny pokazali, 偶e zagro偶enia mobilne nie s膮 ju偶 tylko legendami" - m贸wi Maciej Ziarek, ekspert z Kaspersky Lab Polska. "Find and Call nie tylko potrafi艂 dzia艂a膰 w dw贸ch r贸偶nych systemach - iOS oraz Android - ale tak偶e z powodzeniem przedosta艂 si臋 do oficjalnych sklep贸w z aplikacjami Apple App Store oraz Google Play".

Informacje szczeg贸艂owe dotycz膮ce trojana Find and Call s膮 dost臋pne w Encyklopedii Wirus贸w VirusList.pl prowadzonej przez Kaspersky Lab: http://www.viruslist.pl/weblog.html?weblogid=804.

殴ród艂o:
Kaspersky Lab