Исследователи из Palo Alto рассказали о трояне DualToy для компьютеров, работающих под управлением Windows. Как сообщает Securitylab, зловред способен незаметно загружать мобильные приложения на iPhone, iPad, а также Android-устройства, подключенные к зараженному ПК по USB-кабелю.

Злоумышленники используют DualToy еще с января 2015 года, однако первоначально он мог инфицировать только Android-устройства. Позже вышла вторая версия с поддержкой iOS-устройств, но количество зараженных устройств стало стремительно расти только сейчас.

Вредонос написан на C++ и Delphi. Инфицировав систему, он прежде всего загружает и устанавливает драйверы iTunes для Windows и Android Debug Bridge (ADB). Данные приложения нужны трояну для взаимодействия с любым подключенным к компьютеру устройством. Каждый подключенный к компьютеру смартфон или планшет DualToy по умолчанию воспринимает как устройство, принадлежащее владельцу зараженного ПК, и пытается использовать хранящиеся на компьютере данные для его аутентификации.

Получив доступ к устройству, троян подключается к своему командному серверу, загружает список необходимых для установки приложений, скачивает их и устанавливает на мобильное устройство жертвы. На iPhone и iPad вредонос загружает и запускает код, собирающий такую информацию, как IMEI, IMSI, ICCID, серийный номер устройства и номер телефона. Предназначение этой операции пока неизвестно. С зараженных iOS-устройств DualToy также похищает идентификатор Apple ID и пароль пользователя и отправляет их на управляющий сервер.

С целью избежать трудностей при установке приложений на Android-устройства DualToy также загружает с командного сервера и запускает специальный код. Данный код предоставляет трояну права суперпользователя, благодаря чему он может в фоновом режиме устанавливать на устройство любые программы без участия его владельца.

]]>