Новый инфостилер для Android использует легитимное приложение Termux для кражи данных

Образец вредоносного ПО получил нулевой показатель детектирования в VirusTotal - 0 из 64 антивирусных движков не распознали угрозу. Исходный код содержит комментарии на вьетнамском языке и написан на Python, что вызывает вопрос о том, как исполняется Python-код на Android-устройствах. Ответ кроется в использовании легитимного приложения Termux, которое представляет собой эмулятор терминала и среду Linux для Android, работающую без необходимости рутирования устройства.

Согласно документации, Termux устанавливает минимальную базовую систему, а дополнительные пакеты, включая Python, можно добавить через менеджер пакетов APT. После установки Python в Termux злоумышленники получают возможность запускать вредоносные скрипты. Обнаруженный инфостилер использует классический метод эксфильтрации данных через Telegram-канал с помощью функции отправки сообщений через бота.

Особую опасность представляет тот факт, что Termux предоставляет набор команд для доступа к данным устройства. Команда termux-contact-list возвращает список контактов в формате JSON, включая имена, телефонные номера и адреса электронной почты. Вредоносная программа собирает не только контакты, но и историю SMS-сообщений, журнал вызовов, данные о местоположении через соответствующие команды Termux.

Попытки доступа к данным популярных приложений демонстрируют расширенный функционал инфостилера. В Android-экосистеме Termux работает в песочнице и имеет доступ только к своей домашней директории, однако утилита termux-setup-storage позволяет получить доступ к хранилищу устройства через маппинг директорий. При этом пользователь получает запрос на предоставление разрешений, но социальная инженерия может убедить его предоставить необходимые права.

Вредоносный код пытается найти и эксфильтрировать данные из путей, связанных с Facebook* и WhatsApp, включая файлы баз данных. Отдельное внимание уделяется поиску банковской информации - скрипт рекурсивно обходит файловую систему в поисках файлов, содержащих в названиях ключевые слова, связанные с банковской деятельностью, включая названия конкретных вьетнамских банков.

Дополнительно собирается информация об устройстве: модель, версия Android и имя устройства. Еще более тревожным представляется функция установки бэкдора, который создает фоновый процесс для регулярного отслеживания местоположения устройства каждые 5 минут. Постоянный мониторинг геолокации представляет серьезную угрозу конфиденциальности и безопасности пользователя.

Полный путь заражения пока остается неизвестным. Неясно, как именно устанавливается Termux на устройства жертв и является ли обнаруженный образец тестовой версией или уже активно используемой вредоносной программой. Однако сам факт появления такого инфостилера демонстрирует растущий интерес злоумышленников к мобильным платформам и использование легитимных инструментов в противоправных целях.

Этот случай подчеркивает важность осторожности при установке приложений, даже из официальных источников, и необходимость тщательной проверки предоставляемых разрешений. Пользователям следует с подозрением относиться к запросам на доступ к контактам, сообщениям и местоположению, особенно от приложений, которые не требуют таких функций для своей основной работы. Экосистема Android, долгое время считавшаяся менее уязвимой для сложных угроз, теперь также становится мишенью для изощренных атак.

* Компания Meta и её продукты (включая Facebook) признаны экстремистскими, их деятельность запрещена на территории РФ.

MD5

• ed37c24744f9f2cb3a3564d0c4774656

SHA1

• ebedbe12b896f1fc569a34a6b5f913cfd7fdfdeb

SHA256

• 7576cdb835cd81ceb030f89fe5266649ed4a6201547c84da67144f407684a182