Утекшие данные Hacking Team содержат вредоносное приложение BeNews


0-day yazvimostПохищенные у Hacking Team данные продолжают раскрывать информацию о методах несанкционированного проникновения, используемых компанией. Так последней находкой стало поддельное Android-приложение - BeNews, используемое для установки флагманского инструмента для слежения Hacking Team.

Внутри данного приложения есть бэкдор, который использовался для загрузки версии системы RCS (Remote Control System), известной также под названием Galileo, для Android. Этот инструмент предназначен для сбора данных. Именно его компания и продавала правоохранительным органам и агентствам безопасности по всему миру.

Специалисты утверждают, что вредоносный компонент эксплуатировал уязвимость повышения привилегий CVE-2014-3153. Кроме того, инструмент инфицирует неисправленные версии Android – от Froyo 2.2 до KitKat 4.4.4. По мнению экспертов из Trend Micro, Hacking Team продавала клиентам приложение, которое затем использовалось в качестве приманки для загрузки RCSAndroid на целевое устройство.

В настоящее время Google проверяет Play Store на наличие потенциально вредоносных приложений. Однако Hacking Team, сделала все возможное для того, чтобы BeNews не классифицировалось как вредонос после загрузки. Приложения Android запрашивают разрешение на определенные действия. Изначально BeNews просит разрешения только на 3 безопасные действия, чтобы Google не заблокировал его. После проверки BeNews использует динамическую загрузку и затем выполняет вредоносный компонент.

Всего у Hacking Team было похищено 400 ГБ, в которых блогеры Trend Micro обнаружили исходный код для бэкдора и сервера. Кроме того, были найдены подробные инструкции для клиентов, описывающие запуск вредоносного приложения.

Также в Trend Micro отмечают, что после утечки данных Hacking Team, компания перегруппировалась и теперь планирует разработать новую версии RCS, которая позволит ее клиентам возобновить "уголовные и информационные расследования".

В утекших данных были обнаружены несколько уязвимостей нулевого дня. В Adobe Flash Player найдены три из них, которые эксплуатировались клиентами Hacking Team для установки разработанного компанией ПО. После того, как в Adobe и Microsoft стало известно о брешах, компании выпустили патчи для выявленных уязвимостей.


Обновлено (18.07.2015 16:40)