Hujumchilar blokirovkani chetlab o’tish uchun dasturiy ta’minotning zararli versiyasini tarqatmoqdalar.
Kiberjinoyatchilar Psiphon ilovasiga Triout josuslik dasturini qo’shdilar.
Hujumchilar Psiphon veb-saytini chetlab o’tishning qonuniy ilovasini Android uchun josuslik dasturlari bilan yuqtirishdi va endi uni uchinchi tomon ilovalar do’koni orqali tarqatishmoqda. Google Play do’konidan 50 million martadan ortiq yuklab olingan Psiphonning asl versiyasi (com.psiphon3 sifatida paketlangan) hech qanday xavf tug’dirmaydi. Biroq, ilovani norasmiy manbalardan yuklab olgan foydalanuvchilar ilova bilan birga kuchli josuslik dasturlarini o’z ichiga olgan zararli Triout freymvorkini yuklab olgan bo’lishi mumkin. Triout birinchi marta o’tgan yilning avgust oyida Bitdefender tadqiqotchilari tomonidan aniqlangan. O’sha paytda freymvork kattalar ilovasi bilan birga tarqatilgan edi, ammo endi u Psiphon chetlab o’tish vositasi orqali qurilmalarni yuqtiradi.
Bitdefender tahlilchisi Liviu Arsenening so’zlariga ko’ra, ilovaning o’zgartirilgan versiyasi asl nusxasi bilan bir xil ishlaydi va asl nusxasidan farq qilmaydi. Biroq, asosiy funktsiyalaridan tashqari, zararli versiya fonda telefon qo’ng’iroqlarini yozib oladi, kiruvchi xabarlarni qayd etadi, video yozib oladi, suratga oladi va GPS koordinatalarini to’playdi.
Triout to’plangan ma’lumotlarni tajovuzkorlar tomonidan boshqariladigan C&C serveriga yuboradi. Serverning IP-manzili tadqiqotchilarni qonuniyligi hali tasdiqlanmagan frantsuz chakana savdo veb-sayti magicdeal.fr ga olib keldi.
Zararli tizimdan tashqari, tajovuzkorlar qo’shimcha daromad olish uchun Psiphonning o’zgartirilgan versiyasiga uchta reklama komponentini qo’shdilar. Zararlangan dastur o’tgan yilning 11 oktyabrida aniqlangan bo’lsa-da, u 2 maydan 7 dekabrgacha faol bo’lgan. Telemetriya ma’lumotlariga ko’ra, bu davrda zararli dasturni atigi 17 Bitdefender foydalanuvchisi yuklab olgan.
