Компания «Доктор Веб» сообщила о выявлении нового вредоносного приложения для операционной системы Android, способного осуществлять перехват входящих сообщений для последующей отправки злоумышленникам.
Троянская утилита Android.Pincer.2.origin, по мнению специалистов, представляет серьезную опасность для пользователей, поскольку в украденных сообщениях может содержаться важная информация. SMS-сообщения могут содержать, например, mTAN-коды, которые используют многие банки для подтверждения операций.
Вирус, выявленный специалистами несколько дней назад, является вторым изученным представителем семейства Android.Pincer. Как и предыдущая версия вируса, обновленная версия распространяется злоумышленниками под видом сертификата безопасности, который необходимо установить на мобильное устройство. Если пользователь соглашается на установку утилиты и запускает вирус на исполнение, Android.Pincer.2.origin выведет ложное оповещение об успешной инсталляции сертификата, после чего переходит в ждущий режим, не проявляя особой активности.
Для старта вместе с операционной системой, троянская программа регистрирует новый системный сервис CheckCommandServices, работающий в качестве фоновой службы.
В случае корректного старта при очередном включении устройства Android.Pincer.2.origin инициирует подключение к внешнему серверу и отправляет ему сведения о зараженном устройстве:
— серийный номер устройства;
— название модели;
— IMEI;
— используемый оператор связи;
— номер мобильного телефона;
— версия платформы;
— язык, используемый по умолчанию;
— информация о том, доступны ли права root.
Далее вирус ожидает от сервера управляющего сообщения, которое содержи инструкцию вида «command: [команда]». Доступны следующие команды:
stop_sms_forwarding – прекращение перехвата сообщений;
start_sms_forwarding – [номер мобильного телефона] – запуск перехвата сообщений с указанного номера;
simple_execute_ussd – выполнить запрос USSD;
send_sms – [номер мобильного и текст] – отправка SMS с указанными параметрами;
show_message – вывод текстового сообщения на дисплее устройства;
stop_program – прекращение работы;
ping – отправить SMS с текстом pong на заранее указанный номер;
set_urls – смена адреса сервера управления;
set_sms_number – смена номера, на который отправляется сообщение с текстом pong.
Инструкция start_sms_forwarding представляет для специалистов особенный интерес, поскольку позволяет указать номера, с которых необходимо перехватывать сообщения. Это позволяет использовать вредоносную утилиту для целенаправленных атак и перехватывать специфические SMS-сообщения – например, от систем «Банк-Клиент».