Очередной троян охотится за деньгами пользователей Android-устройств

Безопасность Пользователю MobileB2B
мобильная версия
, Текст: Татьяна Короткова

Компания «Доктор Веб» обнаружила очередного трояна для Android-устройств — вредоносное приложение семейства Android.SmsBot, многие представители которого способны похищать деньги с банковских счетов. Об этом CNews сообщили в «Доктор Веб».

Как и многие аналогичные вредоносные программы, новый троян, получивший имя Android.SmsBot.459.origin, распространяется злоумышленниками с использованием SMS-спама. В частности, потенциальной жертве вирусописателей поступает мошенническое сообщение якобы от имени заинтересованного покупателя, откликнувшегося на размещенное ранее потенциальной жертвой объявление о продаже чего-либо, при этом в послании предлагается посетить некий веб-сайт для получения более подробной информации. Примечательно, что в некоторых случаях для большей убедительности киберпреступники обращаются к пользователю по имени, что говорит о хорошо спланированной таргетированной атаке, в которой применяется специально сформированная база реально существующих объявлений.

Расчет злоумышленников в данном случае прост: если владелец мобильного устройства в недавнем времени действительно пытался что-либо продать через интернет, он с большой долей вероятности поверит в «удачу» и без малейших подозрений перейдет по указанной в сообщении ссылке. В этом случае на его мобильное устройство будет автоматически загружен apk-файл трояна. Однако чтобы Android.SmsBot.459.origin начал свою работу, пользователь должен самостоятельно выполнить его установку. Если же пользователь попытается открыть предоставленную ссылку не на Android-смартфоне или планшете, а на устройстве под управлением другой мобильной платформы либо на своем компьютере, то вместо веб-сайта, с которого загружается Android-троян, он будет перенаправлен на безобидный ресурс.

Android.SmsBot.459.origin инсталлируется в систему под видом приложения-клиента популярного в России сервиса по размещению объявлений и имеет соответствующий значок, «позаимствованный» злоумышленниками у настоящей программы. Таким образом киберпреступники пытаются окончательно убедить потенциальную жертву в том, что она имеет дело с настоящим сервисом объявлений, и ей ничто не угрожает, отметили в «Доктор Веб». Сразу после запуска троян пытается получить доступ к функциям администратора мобильного устройства, чтобы в дальнейшем осложнить попытки своего удаления. Вредоносная программа фактически вынуждает пользователя предоставить ей нужные права, так как она препятствует нормальной работе с Android-смартфоном или планшетом, блокируя его экран постоянно демонстрируемым запросом.

Android.SmsBot.459.origin передает на управляющий сервер сведения о зараженном устройстве, включая его IMEI-идентификатор, информацию об операторе, а также об используемой версии операционной системы. Сразу после этого троян получает команду на проверку наличия подключенной к телефонному номеру жертвы услуги мобильного банка нескольких кредитных организаций и выполняет запрос текущего баланса абонентского счета, а также баланса учетной записи одной из популярных в России платежных систем, рассказали в компании. С этой целью вредоносное приложение отправляет специально сформированные для каждого из этих сервисов SMS, при этом все поступающие в ответ сообщения Android.SmsBot.459.origin скрывает от пользователя и переадресовывает на удаленный узел.

В ОС Android версии 4.4 и выше благодаря введенным мерам дополнительной безопасности скрыть SMS-сообщения от пользователя трояну не удастся, поэтому он просто-напросто временно деактивирует все звуковые уведомления системы, в том числе вибровызов, и удаляет поступившую корреспонденцию.

В целом Android.SmsBot.459.origin может получить от злоумышленников следующие команды: esms&&& — отправить на сервер список всех SMS-сообщений; getapps&&& — отправить на сервер список установленных приложений; sent&&& — отправить SMS-сообщение c заданным текстом на указанный номер; rent&&& — включить перехват SMS-сообщений; sms_stop&&& — остановить перехват SMS-сообщений; ussd&&& — выполнить USSD-запрос; export&&& — отправить на сервер список контактов; u&&& — задать адрес нового управляющего сервера; sapp&&& — отправить сообщение на указанный номер в приложении Viber.

Таким образом, при наличии денег на каком-либо из имеющихся счетов пользователя киберпреступники могут незаметно украсть их, отдав соответствующее указание вредоносному приложению. При этом жертва такой атаки узнает о хищении далеко не сразу, так как троян блокирует все SMS с кодами подтверждений, а также уведомлениями об операциях с деньгами.

Специалисты «Доктор Веб» настоятельно советуют владельцам мобильных устройств под управлением ОС Android не переходить по ссылкам из сомнительных SMS-сообщений, а также не устанавливать приложения, полученные из ненадежных источников. Антивирусные продукты Dr.Web для Android обнаруживают трояна Android.SmsBot.459.origin, указали в компании.