Исследователи из Cisco Talos выявили активность вредоносного программного обеспечения, которое использует приложение Microsoft Phone Link для перехвата конфиденциальных данных. Программа удаленного доступа (RAT), получившая название CloudZ, способна похищать учетные данные в момент синхронизации смартфона с персональным компьютером.
Что представляет собой Microsoft Phone Link
Microsoft Phone Link — это предустановленное приложение в операционных системах Windows 10 и 11, ранее известное как Your Phone. Программа позволяет пользователям связывать мобильные устройства на базе Android и iOS с компьютером посредством Bluetooth или Wi-Fi. Функционал сервиса включает возможность отвечать на звонки, отправлять текстовые сообщения, просматривать уведомления, а для владельцев Android-устройств — доступ к медиафайлам с камеры.
Особенности работы трояна CloudZ
CloudZ является модульным вредоносным ПО, написанным на языке .NET. Оно оснащено механизмами противодействия анализу, включая обфускацию (запутывание кода) и обнаружение средств отладки. При запуске троян загружает инструкции в оперативную память, устанавливает связь с командным сервером злоумышленников и исполняет сценарии PowerShell для кражи данных.
Ключевым инструментом для кражи информации стал недавно обнаруженный плагин Pheno. Его функции включают:
- Мониторинг активных процессов приложения Microsoft Phone Link.
- Перехват и хищение данных из базы SQLite, которую использует сервис для хранения информации при синхронизации устройств.
- Кражу конфиденциальных сведений, включая логины, пароли, SMS-сообщения и одноразовые пароли (OTP), передаваемые между смартфоном и компьютером.
Атака строится не на поиске уязвимостей в самом приложении, а на злоупотреблении легитимными функциями Windows, что затрудняет детектирование подобных угроз стандартными средствами защиты.
Рекомендации по защите
Эксперты Cisco Talos отмечают, что вредоносное ПО может попадать в систему под видом обновлений легитимного софта. Для снижения рисков заражения рекомендуется придерживаться следующих правил:
- Загружать программное обеспечение исключительно из официальных источников.
- Использовать антивирусное ПО с включенным сканированием файлов в режиме реального времени.
- Избегать установки пиратского контента, в состав которого часто включают скрытые вредоносные модули.
- Регулярно проводить сканирование всех подключенных устройств, так как вредоносное ПО может распространяться по локальной сети между компьютером и смартфоном.
- Не подключать устройство к неизвестным или подозрительным гаджетам, включая чужие смартфоны и USB-накопители.
* — деятельность компании запрещена на территории РФ
