Компания "Доктор Веб" предупреждает о появлении новой версии шпиона Android.SpyEye, предназначенного для перехвата злоумышленниками входящих SMS. Этот троянец скрывается за приложением Android Security Suite Premium, якобы, обеспечивающим защиту смартфона от вредоносного ПО. Новая версия троянца, добавленная в вирусные базы как Android.SpyEye.2.origin, распространяется под видом защитного приложения Android Security Suite Premium и имеет соответствующую иконку. После запуска программы на экране мобильного устройства отображается образ щита и некий код активации.
Android.SpyEye.2.origin является представителем троянцев-шпионов, главная цель которых - получить доступ к SMS, поступающим на мобильный номер пользователя от банковских систем при выполнении ряда финансовых операций. В таких сообщениях содержится одноразовый код, который пользователь должен ввести в специальную форму, чтобы подтвердить выполнение денежной транзакции. Троянец отслеживает несколько системных событий: SMS_RECEIVED (получение нового SMS), NEW_OUTGOING_CALL (исходящий с мобильного устройства звонок) и BOOT_COMPLETED (загрузка операционной системы).
Киберпреступники имеют возможность контролировать троянца удаленно. При поступлении нового сообщения Android.SpyEye.2.origin проверяет, содержится ли в тексте предназначенная для него команда. Если это так, вредоносная программа выполняет ее, а само сообщение удаляет. Злоумышленники могут задействовать несколько функций:
- Активацию режима работы, при котором троянец отправляет все вновь поступающие SMS на заданный номер, при этом, целевой номер указывается в командном сообщении
- Деактивацию этого режима
- Команду на удаление троянца
Если управляющая команда во входящем сообщении отсутствует, информация о нем добавляется в специальную базу данных. При обнаружении исходящего вызова, а также после загрузки операционной системы троянец ждет 180 секунд, после чего помещает в ту же базу данных сведения о последнем входящем SMS. Если же добавление этих сведений в базу было сделано ранее, то имеющиеся данные загружаются на сервер злоумышленников. После обработки поступающего SMS троянец отправляет на принадлежащий злоумышленникам сервер информацию о номере мобильного телефона и идентификатор инфицированного устройства. Таким образом, в руки злоумышленников могут попасть различные важные данные, например, часть личной переписки жертвы.
Источник: Mobile Review
|
