Новый вирус позволяет подслушивать разговоры с помощью Bluetooth
Корпорация Symantec предупредила о потенциале использования технологий Bluetooth червем W32.Flamer - самой сложной вредоносной программой со времён Stuxnet и Duqu.
Как сообщили ЛІГАБізнесІнформ в корпорации, злоумышленники получают возможность идентифицировать мобильное устройство пользователя на расстоянии до одной мили и даже отслеживать местонахождение жертвы, красть конфиденциальную информацию и прослушивать разговоры.
"Из всех обнаруженных до сих пор угроз для Windows-платформ, W32.Flamer - единственная, столь широко использующая технологи Bluetooth вредоносная программа, что является еще одним веским подтверждением ее создания в качестве шпионского инструмента несанкционированного сбора информации", - подчеркнули в Symantec.
Функционал, использующий технологии Bluetooth, реализован в модуле "BeetleJuice". Его запуск производится в соответствии со значениями конфигурационных параметров, заданными атакующим. При запуске сначала производится поиск всех доступных Bluetooth-устройств. При обнаружении устройства производится запрос его статуса и записываются параметры устройства, включая идентификатор, предположительно для отправки атакующему. Далее он настраивает себя в качестве Bluetooth-маяка. Это означает, что зараженный червем W32.Flamer компьютер всегда будет виден при поиске Bluetooth-устройств. В дополнение к самозасвечиванию W32.Flamer кодирует сведения о зараженном компьютере и затем сохраняет их в специальном поле "description". И при сканировании окружающего пространства любым другим Bluetooth-устройством он отображает это поле.
Корпорация представила несколько сценариев использования технологий Bluetooth червем W32.Flamer.
Согласно первому сценарию, происходит определение социальных связей жертвы, во втором случае злоумышленники идентифицируют местонахождения жертвы, в третьим - происходит расширенный сбор информации.
Значительная часть функционала W32.Flamer реализована в виде скриптов Lua, или приложений (apps), загружаемых из хранилища приложений (apprepository) FLAME. Для атакующего не составит никакого труда разместить новое вирусное приложение Bluetooth Lua в хранилище FLAME для загрузки на зараженное устройство. С увеличением функциональности злоумышленник, уже идентифицировавший Bluetooth-устройства, находящиеся в пределах досягаемости, может предпринять ряд атак.
Возможно, что W32.Flamer содержит нераскрытый код, который уже обеспечивает достижение этих целей, предполагают в корпорации.
В Symantec указали, что описанные предположения являются практически осуществимыми атаками, которые можно легко реализовать при должной технической подготовке. "А сложность W32.Flamer указывает на очень хорошую техническую подготовку злоумышленников, и такие атаки им по плечу", - подытожили в корпорации.