Троян Gomal маскируется под мобильную игру


Gomal (Лаборатория Касперского) - мобильная троянская программа, обладающая более высоким уровнем маскировки и снабженный новыми для такого ПО техниками. Новый зловред маскируется под игру Tic Tac Toe, разновидность "крестиков-ноликов".

Если пользователь мобильного устройства попадался на уловку злоумышленников и скачивал данную игру, то в дальнейшем она начинала запрашивать разрешения к:

  • доступу в Интернет;
  • контактам пользователя;
  • архиву SMS;
  • возможности обработки звонков и запись звука.


При этом сам код игры занимает около 30% исполняемого файла, все остальное – функционал для осуществления шпионажа за пользователем и похищения личной информации. Вредоносное ПО позволяет осуществлять запись звука, а также сбор и передачу на удаленный сервер информации об устройстве. Однако здесь самым необычным является набор библиотек, которые поставляются вместе с трояном.

Часть этого пакета библиотек является эксплоитом, который предназначен для получения корневого доступа к устройству на базе Android. Расширенные права дают приложению доступ к различным сервисам ОС Linux, например, к чтению памяти процесса и файлам /maps, позволяя похищать почту из приложения Good for Enterprise. Затем, чтобы произвести атаку на Good for Enterprise троян при помощи консоли (команда ps) получает ID интересующего процесса и читает виртуальный файл /proc/ /maps, в котором содержится информация о выделенных приложению блоках памяти.

В случае удачного получения списка создает его дамп при помощи еще одной библиотеки из своего пакета. Затем в полученном дампе памяти выполняется поиск подписей, специфичных для почтовых сообщений. Найденные таким образом письма отправляются на сервер злоумышленников. Кроме этого, Gomal похищает информацию из logcat – встроенного в Android сервиса логирования, используемого для отладки приложений.