Киберпреступники семь лет следили за тысячами россиян
Работа Attor заключается в анализе активных процессов пользователя: изучаются популярные браузеры и мессенджеры, почтовые приложения, сервисы IP-телефонии, а также социальные сети «Одноклассники» и «ВКонтакте». Платформа не ограничивается только снимками с экрана, которые отправляются злоумышленникам, но также ведет запись аудио, копирует набираемые тексты и данные из буфера обмена. Кроме того, ведется учет подключенных устройств: модемов, телефонов и накопителей.
Особый интерес платформа проявляет к тем пользователям, которые озабочены конфиденциальностью своих данных. Маркерами для нее служат активация VPN-сервисов, утилиты для шифрования и некоторые другие схожие приложения.
Платформа Attor имеет сложную структуру и состоит из диспетчера и плагинов. Они загружаются на устройства, как зашифрованные файлы DLL, а для связи с сервером используют систему Tor.
В протоколах платформы используются AT-команды, которые позволяют без ведома владельца, например, отправлять SMS-сообщения или эмулировать события на экране. Эти команды используются также для получения идентификаторов, номеров телефонов и версий используемих ОС. Специалисты ESET уверены, что именно эта информация интересует кибершпионов больше всего, то есть, цифровой отпечаток устройства.
«Создание цифрового отпечатка устройств может стать основой для дальнейшей кражи данных. Если киберпреступники узнают тип подсоединенного устройства, они смогут собрать персональный плагин, способный при помощи AT-команд украсть с него данные или внести изменения», — предупреждает вирусный аналитик компании ESET Зузана Хромцова.