Internetda yangi Android spyware vositasi ochiq sotilmoqda va uning eng xavfli jihati faqat kuzatuv imkoniyatlari emas, balki butunlay yangi biznes modeli hisoblanadi. Endilikda har qanday foydalanuvchi ushbu dasturdan foydalanibgina qolmay, uni o‘z brendi ostida qayta sotishi mumkin.
"Bu oddiy malware emas — bu spyware sanoatining yangi bosqichi."
Ushbu vosita KidsProtect nomi bilan tanilgan bo‘lib, u ota-onalar nazorati uchun mo‘ljallangan dastur sifatida ko‘rsatiladi. Ammo aslida u qurilmaga o‘rnatilgach, fon rejimida ishlaydi va foydalanuvchining xabarisiz telefon ustidan to‘liq nazoratni qo‘lga kiritadi.
Dastur Android 7 va undan yuqori versiyalarda ishlaydi va hatto Android 16 ni ham qo‘llab-quvvatlashini bildiradi. U obuna asosida sotiladi va narxi $60 dan boshlanadi.
Eng xavfli jihati — white-label modeli, ya’ni xaridorlar dastur nomini, logotipini va funksiyalarini o‘zgartirib, uni o‘z mahsuloti sifatida sotishlari mumkin.
.webp)
Certo tadqiqotchilari ushbu vositaning oddiy forumlarda ochiq reklama qilinayotganini aniqladi. Reklamalarda u "Built for Stability and Stealth" deb ta’riflangan va hatto bepul sinov ham taklif qilingan.
"Bu model huquqni muhofaza qilish organlari uchun jiddiy muammo — bitta xizmat yopilsa ham, uning o‘rniga o‘nlab yangi nusxalar paydo bo‘ladi."
.webp)
Bu yondashuv 2024-yilda yopilgan PhoneSpector va Highster Mobile kabi stalkerware platformalaridan farqli ravishda, tizimni butunlay tarqatilgan holga keltiradi.
Hiding in Plain Sight: KidsProtect qanday yashirinadi
KidsProtect qurilmada maksimal darajada yashirin ishlash uchun yaratilgan. O‘rnatilgach, u o‘zining haqiqiy nomini ko‘rsatmaydi va oddiy tizim servislariga o‘xshab ko‘rinadi:
- “WiFi Service”
- “WiFiService Installer”
- “WiFiService Assistant”
- “WiFiService Monitor”
Bu esa foydalanuvchining e’tiboridan chetda qolishiga yordam beradi.
Yana bir muhim belgi — package nomi: com.example.parentguard
"Bu nom odatda test loyihalarda ishlatiladi va real mahsulotlarda deyarli uchramaydi — bu yashirinlik uchun ataylab tanlangan."
.webp)
Tahlillar shuni ko‘rsatdiki, dastur juda keng ruxsatlarni talab qiladi:
- ACCESS_BACKGROUND_LOCATION
- RECORD_AUDIO
- CAMERA
- READ_SMS
- READ_CALL_LOG
- READ_CONTACTS
Bundan tashqari, Accessibility Service orqali u ekran faoliyatini kuzatadi va kiritilayotgan parollarni ham qo‘lga kiritadi.
.webp)
Dastur quyidagi funksiyalar orqali o‘zini yashirin saqlaydi:
- SYSTEM_ALERT_WINDOW orqali ustki oynalarni boshqarish
- REQUEST_IGNORE_BATTERY_OPTIMIZATIONS orqali yopilmaslik
- BootReceiver orqali avtomatik ishga tushish
- Device Administrator orqali o‘chirilishni bloklash
O‘rnatish sahifasida foydalanuvchilarga Google Play Protect’ni o‘chirish tavsiya qilinadi.
"Bu esa uning rasmiy xavfsizlik tizimlari tomonidan malware sifatida aniqlanishini ko‘rsatadi."
.webp)
Indicators of Compromise (IOC)
Agar quyidagi belgilar aniqlansa, qurilma infektsiyalangan bo‘lishi mumkin:
Package Name:
com.example.parentguard
SHA-256 Hashes:
- 9864db6b5800d9e03b747c46fdef988e035cadde83077a41c5610d5d89f753a0
- 1b1d9b260deec0c612ec67579fd36fec7722b2b8446ab32284a08f44f4ea64da
- f4e9733d93ce35ecd3c83f18addf77f8ff49444d09847eaeef9c8e87837d0165
- 17817d9e29920493bb20ed626c3026e3c29eb6f1d56ef9462c306066ce2ad171
- f0d01b28ddfdbefe0697994a6b30f2b8a4e39ef1ad6c9427b921b2ccd945a8c5
Foydalanuvchilarga quyidagilar tavsiya etiladi:
- Har doim Google Play Protect yoqilgan bo‘lsin
- Noma’lum manbalardan APK o‘rnatmaslik
- Accessibility ruxsatlarini tekshirish
- Device Administrator ro‘yxatini nazorat qilish
"com.example.parentguard aniqlansa — bu aniq kompromat belgisi va zudlik bilan choralar ko‘rilishi kerak."
