Компания «Доктор Веб» сообщает о
появлении новой версии шпиона Android.SpyEye, предназначенного для
перехвата злоумышленниками входящих СМС-сообщений пользователей
мобильных устройств. Этот троянец скрывается за приложением Android
Security Suite Premium, якобы обеспечивающим защиту смартфона от
вредоносного ПО.
Новая версия троянца, добавленная в вирусные
базы как Android.SpyEye.2.origin, распространяется под видом защитного
приложения Android Security Suite Premium и имеет соответствующую
иконку. После запуска программы на экране мобильного устройства также
отображается образ щита и некий код активации.
Android.SpyEye.2.origin
является представителем троянцев-шпионов, главная цель которых —
получить доступ к СМС-сообщениям, поступающим на мобильный номер
пользователя от банковских систем при выполнении ряда финансовых
операций. В таких сообщениях содержится одноразовый код (т. н.
mTAN-код), который пользователь должен ввести в специальную форму, чтобы
подтвердить выполнение денежной транзакции.
Троянец отслеживает
несколько системных событий: SMS_RECEIVED (получение нового
СМС-сообщения), NEW_OUTGOING_CALL (исходящий с мобильного устройства
звонок) и BOOT_COMPLETED (загрузка операционной системы).
Киберпреступники
имеют возможность определенным образом контролировать троянца удаленно.
При поступлении нового сообщения Android.SpyEye.2.origin проверяет,
содержится ли в тексте предназначенная для него команда. Если это так,
вредоносная программа выполняет ее, а само сообщение удаляет.
Злоумышленники могут задействовать несколько функций:
- активацию
режима работы, при котором троянец отправляет все вновь поступающие СМС
на заданный номер, при этом целевой номер - указывается в командном
сообщении;
- деактивацию этого режима;
- команду на удаление троянца.
Если управляющая команда во входящем сообщении отсутствует, информация о нем добавляется в специальную базу данных.
При
обнаружении исходящего вызова, а также после загрузки операционной
системы троянец ждет 180 секунд, после чего помещает в ту же базу данных
сведения о последнем входящем СМС-сообщении. Если же добавление этих
сведений в базу было сделано ранее, то имеющиеся данные загружаются на
сервер злоумышленников.
После обработки поступающего СМС троянец
отправляет на принадлежащий злоумышленникам сервер информацию о номере
мобильного телефона и идентификатор инфицированного устройства. Таким
образом, помимо сведений, представляющих непосредственную финансовую
ценность (mTAN-коды), в руки злоумышленников могут попасть и другие
важные данные, например часть личной переписки жертвы.
|
Главная 
