«Лаборатория Касперского» провела анализ многофункциональной вредоносной программы Tordow, поражающей Android-устройства с целью кражи финансовой и другой конфиденциальной информации.
Зловред распространяется в составе многих популярных мобильных приложений, которые специально модифицированы злоумышленниками. Такие приложения размещаются на различных сайтах, вне официального магазина Google Play.
После запуска зловред обращается к серверу киберпреступников и скачивает свою основную часть, содержащую ссылки на загрузку ещё нескольких файлов. В частности, получает пакет эксплойтов, при помощи которого пытается обзавестись root-привилегиями. Это предоставляет вредоносной программе ряд расширенных функций.
Компоненты Tordow в модифицированном приложении
Так, зловред устанавливает один из скачанных модулей в системную папку, что делает его трудноудаляемым. Кроме того, при помощи прав суперпользователя злоумышленники похищают базы данных стандартного браузера Android и обозревателя Google Chrome: в них содержатся логины и пароли, сохранённые пользователем, история посещений, файлы cookie и даже иногда сохранённые данные банковских карт. Наконец, киберпреступники получают возможность похитить практически любой файл в системе — от фотографий и документов до файлов с данными аккаунтов мобильных приложений.
Tordow обладает и другими функциями: отправка, кража и удаление SMS, перенаправление и блокировка звонков, проверка баланса, установка приложений, блокировка устройства и пр.
Источник:
