08/02/19
/psiphon.jpg?width=300&name=psiphon.jpg)
Злоумышленники заразили легитимное приложение для обхода блокировки сайтов Psiphon шпионским ПО для Android и теперь распространяют его через сторонний магазин приложений. Оригинальная версия Psiphon (запакована как com.psiphon3), загруженная из Google Play Store более 50 млн раз, никакой угрозы не представляет. Тем не менее, пользователи, скачавшие приложение из неофициальных источников, могли вместе с приложением загрузить на свое устройство вредоносный фреймворк Triout с мощными шпионскими функциями.
Triout был впервые обнаружен исследователями компании Bitdefender в августе прошлого года. Тогда фреймворк распространялся вместе с приложением для взрослых, однако теперь он заражает устройства через инструмент для обхода блокировок Psiphon.
По словам аналитика Bitdefender Ливиу Арсене (Liviu Arsene), модифицированная версия приложения работает так же, как оригинальная, и невооруженным взглядом их не отличить. Однако помимо своих основных функций, вредоносная версия также записывает в фоновом режиме телефонные звонки, регистрирует входящие сообщения, записывает видео, делает снимки и собирает GPS-координаты.
Собранные данные Triout отправляет на подконтрольный злоумышленникам C&C-сервер. IP-адрес сервера вывел исследователей на французский сайт розничной торговли magicdeal.fr, законность/незаконность которого пока не подтверждена.
Помимо вредоносного фреймворка, злоумышленники добавили в модифицированную версию Psiphon три рекламных компонента для дополнительного заработка. Хотя зараженное приложение было обнаружено 11 октября прошлого года, оно было активно с 2 мая по 7 декабря. Согласно данным телеметрии, за этот период вредоносное приложение загрузили всего лишь 17 пользователей Bitdefender.
