Исследователи из команды Lookout’s Security Research & Response идентифицировали шпионское ПО, скрытое в четырех приложениях, доступных в официальном App Store Google. Шпионское ПО получило название Overseer и предназначено для хищения персональных данных пользователей, включая:
• контакты пользователя, имя, телефонный номер, электронную почту, время соединения;
• все учетные записи пользователей на взломанном устройстве;
• точное расположение, включая широту, долготу, идентификатор сети и код зоны в которой находится пользователь;
• объем свободной внешней и внутренней памяти;
• IMEI устройства, IMSI, MCC, MNC, тип телефона, сетевой оператор, устройство и информация о Android;
• подробные данные установленных пакетов.
Исследователи Lookout заявили, что шпионское ПО предназначается для путешественников; одно приложение, в котором это было найдено, было разработано, чтобы помочь путешественникам находить посольство своей страны за границей.
Кроме того, Overseer был найден в российских и европейских приложениях новостей.
Особенностью данного вредоносного программного обеспечения является способ связи с его центром командования и управления.
В этом случае C&C работал на Facebook Parse Server, размещенный на Amazon Web Services. Таким образом, трафик между шпионским ПО и C&C выглядит законным.
В данный момент эти приложения удалены из Google Play Store.