С какой целью похищались SMS-сообщения, пока не известно.
Специалисты компании Palo Alto Networks зафиксировали очередной случай внедрения в легитимные приложения стороннего SDK, в результате чего у программ появляются неожиданные функции.
Речь идет о популярном китайском решении Taomike SDK, которое, как утверждают исследователи, похищает копии всех сообщений, поступивших на телефон, и отправляет их на контролируемый Taomike сервер. По словам экспертов, проблема заключается в библиотеке zdtpay, которая отвечает за вредоносную активность. Данная библиотека является частью системы встроенных in-app-покупок платформы Taomike.
С начала августа нынешнего года специалисты обнаружили порядка 18 тыс. Android-приложений, которые содержали библиотеку Taomike. Отмечается, что эти приложения распространялись не через Google Play, а посредством сторонних магазинов, расположенных в Китае.
Вместе с тем, не все приложения, содержащие Taomike SDK, демонстрировали способность похищать SMS-сообщения. Анализ показал, что данный функционал присутствует только в образцах с внедренным URL hxxp://112.126.69.51/2c.php. IP-адрес принадлежит API-серверу Taomike и именно на него отправлялись все похищенные сообщения, а не только связанные с рекламной платформой. В целом специалистам удалось обнаружить 63 тыс. Android-приложений, содержащих библиотеку Taomike, однако только 18 тыс. имели вредоносный функционал.
Согласно данным Palo Alto, вредоносные версии начали появляться в августе 2015 года. В настоящее время не известно, как именно Taomike использует похищенные SMS-сообщения. Отмечается, что пострадали только пользователи в Китае, загрузившие приложения из сторонних магазинов. В Google Play Store инфицированных приложений замечено не было.
Специалисты компании Palo Alto Networks зафиксировали очередной случай внедрения в легитимные приложения стороннего SDK, в результате чего у программ появляются неожиданные функции.
Речь идет о популярном китайском решении Taomike SDK, которое, как утверждают исследователи, похищает копии всех сообщений, поступивших на телефон, и отправляет их на контролируемый Taomike сервер. По словам экспертов, проблема заключается в библиотеке zdtpay, которая отвечает за вредоносную активность. Данная библиотека является частью системы встроенных in-app-покупок платформы Taomike.
С начала августа нынешнего года специалисты обнаружили порядка 18 тыс. Android-приложений, которые содержали библиотеку Taomike. Отмечается, что эти приложения распространялись не через Google Play, а посредством сторонних магазинов, расположенных в Китае.
Вместе с тем, не все приложения, содержащие Taomike SDK, демонстрировали способность похищать SMS-сообщения. Анализ показал, что данный функционал присутствует только в образцах с внедренным URL hxxp://112.126.69.51/2c.php. IP-адрес принадлежит API-серверу Taomike и именно на него отправлялись все похищенные сообщения, а не только связанные с рекламной платформой. В целом специалистам удалось обнаружить 63 тыс. Android-приложений, содержащих библиотеку Taomike, однако только 18 тыс. имели вредоносный функционал.
Согласно данным Palo Alto, вредоносные версии начали появляться в августе 2015 года. В настоящее время не известно, как именно Taomike использует похищенные SMS-сообщения. Отмечается, что пострадали только пользователи в Китае, загрузившие приложения из сторонних магазинов. В Google Play Store инфицированных приложений замечено не было.