Троянец-шпион для Android охотится за входящими SMS
Компания «Доктор Веб» предупредила о появлении новой версии шпиона
Android.SpyEye, предназначенного для перехватазлоумышленниками входящих
СМС-сообщений пользователей мобильных устройств. Этот троянец
скрывается за приложением Android Security Suite Premium, якобы
обеспечивающим защиту смартфона от вредоносного ПО.
Новая версия
троянца, добавленная в вирусные базы как Android.SpyEye.2.origin,
распространяется под видом защитного приложения Android Security Suite
Premium и имеет соответствующую иконку. После запуска программы на
экране мобильного устройства также отображается образ щита и некий код
активации.
Android.SpyEye.2.origin является представителем троянцев-шпионов,
главная цель которых — получить доступ к СМС-сообщениям, поступающим на
мобильный номер пользователя от банковских систем при выполнении ряда
финансовых операций. В таких сообщениях содержится одноразовый код (т.
н. mTAN-код), который пользователь должен ввести в специальную форму,
чтобы подтвердить выполнение денежной транзакции. Троянец отслеживает
несколько системных событий: SMS_RECEIVED (получение нового
СМС-сообщения), NEW_OUTGOING_CALL (исходящий с мобильного устройства
звонок) и BOOT_COMPLETED (загрузка операционной системы).
Киберпреступники
имеют возможность определенным образом контролировать троянца удаленно.
При поступлении нового сообщения Android.SpyEye.2.origin проверяет,
содержится ли в тексте предназначенная для него команда. Если это так,
вредоносная программа выполняет ее, а само сообщение удаляет.
Злоумышленники могут задействовать несколько функций:
активацию режима работы, при котором троянец отправляет все вновь
поступающие СМС на заданный номер, при этом целевой номер указывается в
командном сообщении;
деактивацию этого режима;
команду на удаление троянца.
Если управляющая команда во входящем сообщении отсутствует, информация о нем добавляется в специальную базу данных. При
обнаружении исходящего вызова, а также после загрузки операционной
системы троянец ждет 180 секунд, после чего помещает в ту же базу данных
сведения о последнем входящем СМС-сообщении. Если же добавление этих
сведений в базу было сделано ранее, то имеющиеся данные загружаются на
сервер злоумышленников.
После обработки поступающего СМС троянец
отправляет на принадлежащий злоумышленникам сервер информацию о номере
мобильного телефона и идентификатор инфицированного устройства. Таким
образом, помимо сведений, представляющих непосредственную финансовую
ценность (mTAN-коды), в руки злоумышленников могут попасть и другие
важные данные, например часть личной переписки жертвы.