Червь W32.Flamer ищет жертв через Bluetooth

Вредоносная программа умеет отслеживать передвижение жертвы, прослушивать разговоры, красть контакты и SMS, выяснили в Symantec

Вредоносная программа W32.Flamer (Flame) позволяет ее хозяину идентифицировать мобильное устройство жертвы на расстоянии до мили (1609 метров), отслеживать местонахождение жертвы, красть конфиденциальную информацию и прослушивать разговоры, говорится в исследовании компании Symantec.

Ее специалисты изучили функционал Flamer и обнаружили, что он использует технологии Bluetooth и реализован в модуле BeetleJuice. Червь способен настраивать себя в качестве Bluetooth-маяка. Фиксируя устройства в зоне досягаемости (мобильные телефоны, ноутбуки и другое), Flame создает схему взаимосвязей жертвы с другими людьми, определяет ее социальные связи и профессиональный круг общения, вплоть до определения физического расположения устройства. В этой связи оборудование Bluetooth-мониторинга может быть установлено в аэропортах, на вокзалах, любых других транспортных узлах, в том числе, чтобы выискивать идентификаторы устройств, принадлежащих жертве, с возможностью точной локализации и отслеживания в будущем.

Червь также умеет красть контакты из адресной книги, SMS-сообщения, картинки и многое другое.

В Symantec отмечают, что сложность W32.Flamer указывает на очень хорошую техническую подготовку злоумышленников. «Из всех обнаруженных до сих пор угроз для Windows-платформ, W32.Flamer — единственная, столь широко использующая технологи Bluetooth вредоносная программа, что является еще одним веским подтверждением её создания в качестве шпионского инструмента несанкционированного сбора информации», — подчеркивают в компании.

Flame активен с марта 2010 года, однако внимание IT-общественности он привлек только в апреле этого года. По некоторым данным, Flame мог появиться 5-8 лет назад.

Основная доля зараженных устройств пришлась на страны Ближнего Востока. К концу мая удалось идентифицировать более 100 пострадавших организаций и физических лиц. В частности, Flame приписывают уничтожение информации в жестких дисках компьютеров штаб-квартиры Министерства нефти Ирана, откуда был украден значительный объем данных. Корпорация Microsoft признала, что Flame пробирается в ее операционную систему, пользуясь ошибкой в ОС. Уже выпущены обновления, призванные защитить клиентов Microsoft от шпионских программ.