В поле зрения исследователей “Лаборатории Касперского” оказалась игра Tic Tac Toe, разновидность “крестиков-ноликов”, а вместе с ней – новый мобильный троянец Gomal, обладающий более высоким уровнем маскировки и снабженный новыми для такого ПО техниками.
Первое, что заставляет насторожиться, это список запрашиваемых игрой разрешений: доступ к интернету, контактам пользователя, архиву SMS, возможность обработки звонков и запись звука. Как показали исследования, код игры занимает около 30% исполняемого файла, все остальное – функционал для осуществления шпионажа за пользователем и похищения личной информации. Вредоносное ПО позволяет осуществлять стандартные для шпионских программ запись звука, а также сбор и передачу на удаленный сервер информации об устройстве. Необычным является набор библиотек, которые поставляются вместе с троянцем.
Часть этого пакета библиотек – эксплоит, необходимый для получения корневого доступа к устройству на базе Android. Расширенные права дают приложению доступ к различным сервисам ОС Linux, например, к чтению памяти процесса и файлам /maps, позволяют похищать почту из приложения Good for Enterprise. Для атаки на Good for Enterprise троянец при помощи консоли (команда ps) получает ID интересующего процесса и читает виртуальный файл /proc/ /maps, в котором содержится информация о выделенных приложению блоках памяти.
После получения списка блоков троянец находит блок [heap], содержащий строковые данные приложения, и создает его дамп при помощи еще одной библиотеки из своего пакета. Затем в полученном дампе памяти выполняется поиск подписей, специфичных для почтовых сообщений, и найденные таким образом письма отправляются на сервер злоумышленников. Помимо этого, Gomal похищает информацию из logcat – встроенного в Android сервиса логирования, используемого для отладки приложений. (Касперский/NovostIT)