Троянец Android.Pincer.2.origin крадет SMS-сообщения

Компания «Доктор Веб» сообщила о выявлении нового вредоносного приложения для операционной системы Android, способного осуществлять перехват входящих сообщений для последующей отправки злоумышленникам.

Троянская утилита Android.Pincer.2.origin, по мнению специалистов, представляет серьезную опасность для пользователей, поскольку в украденных сообщениях может содержаться важная информация. SMS-сообщения могут содержать, например, mTAN-коды, которые используют многие банки для подтверждения операций.

Вирус, выявленный специалистами несколько дней назад, является вторым изученным представителем семейства Android.Pincer. Как и предыдущая версия вируса, обновленная версия распространяется злоумышленниками под видом сертификата безопасности, который необходимо установить на мобильное устройство. Если пользователь соглашается на установку утилиты и запускает вирус на исполнение, Android.Pincer.2.origin выведет ложное оповещение об успешной инсталляции сертификата, после чего переходит в ждущий режим, не проявляя особой активности.

Для старта вместе с операционной системой, троянская программа регистрирует новый системный сервис CheckCommandServices, работающий в качестве фоновой службы.

В случае корректного старта при очередном включении устройства Android.Pincer.2.origin инициирует подключение к внешнему серверу и отправляет ему сведения о зараженном устройстве:

— серийный номер устройства;
— название модели;
— IMEI;
— используемый оператор связи;
— номер мобильного телефона;
— версия платформы;
— язык, используемый по умолчанию;
— информация о том, доступны ли права root.

Далее вирус ожидает от сервера управляющего сообщения, которое содержи инструкцию вида «command: [команда]». Доступны следующие команды:

stop_sms_forwarding – прекращение перехвата сообщений;
start_sms_forwarding – [номер мобильного телефона] – запуск перехвата сообщений с указанного номера;
simple_execute_ussd – выполнить запрос USSD;
send_sms – [номер мобильного и текст] – отправка SMS с указанными параметрами;
show_message – вывод текстового сообщения на дисплее устройства;
stop_program – прекращение работы;
ping – отправить SMS с текстом pong на заранее указанный номер;
set_urls – смена адреса сервера управления;
set_sms_number – смена номера, на который отправляется сообщение с текстом pong.

Инструкция start_sms_forwarding представляет для специалистов особенный интерес, поскольку позволяет указать номера, с которых необходимо перехватывать сообщения. Это позволяет использовать вредоносную утилиту для целенаправленных атак и перехватывать специфические SMS-сообщения – например, от систем «Банк-Клиент».





Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: