В интернете завёлся серьёзный троян DualToy, работающий под управлением операционной системы Windows.
Исследователи из Palo Alto нашли зловредное ПО, способное незаметно загрузить мобильное приложение на любой iPhone, iPad или Android-гаджет через USB-кабель, подключённый к зараженному компьютеру.
По сообщениям экспертов, «троянский конь» функционирует с января 2015 года, но ранее заразить мог лишь Android-устройства. Спустя некоторое время появилась вторая версия вредоносной программы, внедряющая приложения в iOS-девайсы, но широкое распространение получившая только сейчас.
Как происходит заражение
Попав на компьютер через Глобальную сеть, ПО устанавливает драйвера iTunes и Android Debug Bridge (ADB). Эти приложения DualToy использует для взаимодействия с любым подключённым устройством.
В процессе установки на компьютере под управлением ОС Windows образуется модуль «insapp.dll», позволяющий управлять установщиком для iOS. Вместе с вредоносным модулем создаётся файл конфигурации «insapp.ini», в котором содержится список приложений для установки на борт яблочной техники, а также конфигуратор драйверов iTunes.
И на что же он ещё способен
Помимо установки нелегальных приложений DualToy способен собирать такие данные: IMEI, IMSI, ICCID, серийный номер гаджета и номер телефона. А также троян крадет данные Apple ID пользователя и посылает их на свой C&C-сервер.
Как его обнаружить
Если вы обнаружили странное приложение на своём смартфоне, проверьте на компьютере наличие файлов «AppleMobileDeviceSupport64.msi» и «AppleApplicationSupport64.msi». Это официальные файлы Apple, находящиеся изначально на C2-серверах хакеров, а затем скачивающиеся на ваш ПК.
А вот список доменных имён, которые могут быть внесены в реестр Windows:
www.zaccl[.]com
pack.1e5[.]com
rsys.topfreeweb[.]net
abc.yuedea[.]com
report.boxlist[.]info
tt.51wanyx[.]net
hk.pk2012.info
center.oldlist[.]info
up.top258[.]cn
dl.dswzd[.]com
Именно с них вирус берет необходимые приложения.
Надеемся, что вы не столкнётесь с таким трояном, но всегда нужно быть готовым. Предупреждён, значит вооружён! [Palo Alto]
14 комментариев