KidsProtect: Android-шпион перехватывает звонки, SMS и GPS

Certo выявила новый инструмент слежения для Android под названием KidsProtect, который работает как Trojan (RAT). По данным анализа, это шпионское ПО позволяет операторам практически полностью контролировать устройство жертвы без ее ведома.

Что умеет KidsProtect

После установки приложение работает в фоновом режиме и получает доступ к широкому набору функций, включая:

• запись разговоров в real time;
• streaming audio через microphone устройства;
• отслеживание location по GPS;
• чтение SMS messages;
• keylogging;
• доступ к photos и contact lists.

Кроме того, KidsProtect может удаленно активировать фронтальную и заднюю cameras, а также препятствовать удалению: приложение регистрирует себя в качестве Device Administrator, что усложняет его деинсталляцию пользователем.

Маскировка под parental control

Приложение маскируется под инструмент parental control, однако его реклама, как отмечает исследование, открыто заявляет о возможностях слежки. Такая двойная подача делает угрозу особенно опасной: формально продукт может выглядеть как средство контроля, но фактически используется как spyware.

Анализ APK-файла подтвердил наличие обширных запросов на permissions, включая ACCESS_BACKGROUND_LOCATION, RECORD_AUDIO, CAMERA и READ_SMS. Это указывает на инвазивный функционал, выходящий далеко за рамки обычного parental control.

Использование Accessibility Service и обход защит

Отдельное внимание исследователи уделяют разрешению Accessibility Service. В Android-malware оно нередко используется не по назначению для перехвата и чтения содержимого приложений, включая passwords и другие чувствительные данные.

Чтобы повысить эффективность работы, инструкции по установке KidsProtect предлагают отключить Google Play Protect — встроенный scanner вредоносного ПО, предназначенный для предотвращения установки malicious software.

Также приложение запрашивает SYSTEM_ALERT_WINDOW и REQUEST_IGNORE_BATTERY_OPTIMIZATIONS. Эти разрешения позволяют ему постоянно работать в фоновом режиме и избегать завершения системой в рамках energy-saving мер.

Закрепление в системе

Еще один важный элемент — компонент BootReceiver. Он обеспечивает автоматический запуск spyware после перезагрузки устройства, благодаря чему контроль над смартфоном сохраняется постоянно.

White-label модель и рынок stalkerware

Особую тревогу вызывает модель распространения KidsProtect в формате white-label solution. Такой подход позволяет разным субъектам быстро ребрендировать и перепродавать программное обеспечение, что осложняет правоприменение в отношении подобных инструментов на рынке stalkerware.

«Без решения проблемы базовой технологии вмешательства долгосрочная эффективность мер против таких операторов может быть ограниченной», — следует из выводов, представленных в отчете.

Это особенно значимо на фоне растущего legal pressure в отношении аналогичных операторов. Ситуация показывает, что распространение spyware становится все более доступным для любого, кто готов за него заплатить, а значит, проблема противодействия таким инструментам будет только усиливаться.