Обнаружены новые модификации вируса Android.SmsSpy.88.origin

Первые модификации вредоносного приложения Android.SmsSpy.88.origin, обнаруженные в апреле 2014 года, обладали относительно простым функционалом. Изначально преступники использовали вирус для перехвата SMS-сообщений от банков (с одноразовыми паролями), а также незаметной отправки SMS-сообщений и выполнения звонков. Позднее владельцы приложения усовершенствовали программу, добавив возможность похищения информации о кредитных картах. Вирус фиксировал запуск определенных программ и накладывал поверх окна поддельную форму ввода личных данных, после чего отправлял информацию на сервер злоумышленников.

Примечательно, что первые версии троянской программы атаковали только пользователей и РФ и некоторых регионов СНГ, для распространения использовался SMS-спам. Ссылка в сообщении вела на ресурс злоумышленников, при открытии которого на мобильное устройство загружался вирус, замаскированный под полезный инструмент или безобидное приложение.

Позднее активность банковского вируса заметно снизилась, однако в конце 2015 года аналитики зафиксировали появление новых версий троянской программы. Новые модификации обладали большим функционалом и атаковали устройства по всему миру.

Для проникновения на устройство приложение также притворялось безобидным приложением, например, Adobe Flash Player (популярный проигрыватель). После активации утилита запрашивает у пользователя права администратора, чтобы надежнее «закрепиться» в системе.

Далее вредоносное приложение подключается к сети, постоянно поддерживая соединение (через сотовую сеть или Wi-Fi). Затем для взломанного устройства формируется уникальный идентификатор, который вместе с другими данными передается на сервер, где осуществляется регистрация планшета или смартфона.

Назначение новых модификаций не изменилось: кража логинов и паролей от аккаунтов мобильного банкинга, а также похищение денег со счетов пользователя. Для этого утилита постоянно отслеживает запуск определенных банковских клиентов (перечень хранится в файле конфигурации). Общее количество отслеживаемых программ составляет около 100.

При фиксации запуска такой программы вирус накладывает поверх окна поддельную форму вводу, для чего используется компонент WebView. Данные введенные пользователем в такую форму, сразу передаются на управляющий сервер.

Троянская программа может выполнять и другие действия: перехват и отправка MMS- и SMS-сообщение, отправка запросов USSD, блокировка дисплея специальным окном, установка пароля на разблокировку устройства, рассылка сообщений по списку контактов, передача на сервер всех сообщений с устройства.





Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: