Власти Китая следят за протестующими в Гонконге с помощью вредоносного ПО
Израильская компания Lacoon Mobile Security сообщила о попытках китайских властей отслеживать действия участников протестов в Гонконге с помощью вредоносного приложения — трояна.
На прошлой неделе участники протестных акций начали получать анонимные сообщения от неизвестного номера через мессенджер WhatsApp. Сообщение предлагало пользователю установить приложение, якобы разработанное программистами из дружественной протестующим группы Code4HK для координации протестных акций и содержало ссылку для скачивания. Однако ни к приложению, ни к рассылке сообщений Code4HK никакого отношения не имели, отмечают специалисты Lacoon Mobile Security. Под видом приложения пользователям предлагали скачать троян Xsser mRAT.
После установки Xsser mRAT получает доступ к данным смартфона, которые передает третьим лицам. Среди этих данных — список контактов, логи звонков, sms и сообщения из различных мессенджеров, в том числе популярного в Китае Tencent, изображения и файлы, история браузера и многое другое. Также он может загружать на смартфон нежелательные приложения и файлы, удалять с него файлы, совершать звонки и включать режим диктофона. При этом троян работает как на Android, так и на считающейся более безопасной iOS. Однако в случае с iOS троян работает только на устройствах, подвергшихся джейлбрейку.
Специалисты Laccon попытались отследить источник атаки и обнаружили арендованные серверы, к которым злоумышленники подключались через стандартный протокол Windows для доступа к удаленным рабочим столам. Это, вероятнее всего, было сделано для того, чтобы избежать прямой связи с серверами управления. Кроме того, злоумышленники использовали китайский сервис Whois для того, чтобы скрыть свое местоположение.
Майкл Шаулов, глава Lacoon Mobile Security, отмечает, что точно установить происхождение вредоносного приложения невозможно, однако все указывает на то, что оно было создано при участии правительства Китая. «Если учитывать, кто стал главным объектом атак, где находятся серверы, с которых было разослано сообщение со ссылкой на приложение и общую сложность проделанной операции, то гадать особенно не приходится», — отметил он.
Фотография: Flickr
Комментарии
Подписаться