Новый троян крадет SMS с Android-смартфонов
Обнаружена новая вредоносная программа для платформы Android, способная перехватывать входящие SMS и перенаправлять их злоумышленникам, сообщает российская антивирусная компания "Доктор Веб".
"Троянец Android.Pincer.2.origin представляет весьма серьезную опасность для пользователей, т.к. в украденных им сообщениях могут находиться, в том числе, и проверочные mTAN-коды, которые используются различными финансовыми системами типа "Банк-Клиент" для подтверждения денежных операций, а также другая конфиденциальная пользовательская информация", - предупреждают эксперты.
Вредоносная программа распространяется под видом сертификата безопасности, который якобы требуется установить на Android-смартфон. "В случае если неосторожный пользователь выполнит установку и попытается запустить троянца, Android.Pincer.2.origin продемонстрирует ложное сообщение об успешной установке сертификата, после чего до поры до времени не будет проявлять сколько-нибудь заметной активности", - рассказали представители "Доктор Веб".
Чтобы загружаться вместе с операционной системой, троян регистрирует системный сервис CheckCommandServices, который в дальнейшем работает в качестве фоновой службы. В случае успешного старта при очередном включении мобильного устройства вредоносная программа подключается к удаленному серверу злоумышленников и загружает на него ряд сведений о мобильном устройстве.
Среди них:
название модели;
серийный номер устройства;
IMEI-идентификатор;
название используемого оператора связи;
номер сотового телефона;
язык, использующийся по умолчанию в системе;
версия операционной системы;
информация о том, имеется ли root-доступ.
Далее вредоносная программа ждет поступления от злоумышленников управляющей SMS, содержащего указание к дальнейшим действиям:
начать перехват сообщений с указанного номера;
отправить sms с указанными параметрами;
выполнить USSD-запрос;
вывести сообщение на экран мобильного устройства;
изменить адрес управляющего сервера;
отправить sms с текстом "pong" на заранее указанный номер;
изменить номер, на который уходит сообщение с текстом "pong".
Команда, позволяющая злоумышленникам указывать трояну, сообщения с какого номера ему необходимо перехватить, дает возможность использовать его как инструмент для проведения таргетированных атак, подчеркивают эксперты. Программа, таким образом, может красть специфические SMS, например сообщения от систем "Банк-Клиент", содержащие проверочные mTAN-коды, либо конфиденциальные SMS, предназначенные для самых разных категорий лиц: от простых пользователей до руководителей компаний и государственных структур.
"Троянец Android.Pincer.2.origin представляет весьма серьезную опасность для пользователей, т.к. в украденных им сообщениях могут находиться, в том числе, и проверочные mTAN-коды, которые используются различными финансовыми системами типа "Банк-Клиент" для подтверждения денежных операций, а также другая конфиденциальная пользовательская информация", - предупреждают эксперты.
Вредоносная программа распространяется под видом сертификата безопасности, который якобы требуется установить на Android-смартфон. "В случае если неосторожный пользователь выполнит установку и попытается запустить троянца, Android.Pincer.2.origin продемонстрирует ложное сообщение об успешной установке сертификата, после чего до поры до времени не будет проявлять сколько-нибудь заметной активности", - рассказали представители "Доктор Веб".
Чтобы загружаться вместе с операционной системой, троян регистрирует системный сервис CheckCommandServices, который в дальнейшем работает в качестве фоновой службы. В случае успешного старта при очередном включении мобильного устройства вредоносная программа подключается к удаленному серверу злоумышленников и загружает на него ряд сведений о мобильном устройстве.
Среди них:
название модели;
серийный номер устройства;
IMEI-идентификатор;
название используемого оператора связи;
номер сотового телефона;
язык, использующийся по умолчанию в системе;
версия операционной системы;
информация о том, имеется ли root-доступ.
Далее вредоносная программа ждет поступления от злоумышленников управляющей SMS, содержащего указание к дальнейшим действиям:
начать перехват сообщений с указанного номера;
отправить sms с указанными параметрами;
выполнить USSD-запрос;
вывести сообщение на экран мобильного устройства;
изменить адрес управляющего сервера;
отправить sms с текстом "pong" на заранее указанный номер;
изменить номер, на который уходит сообщение с текстом "pong".
Команда, позволяющая злоумышленникам указывать трояну, сообщения с какого номера ему необходимо перехватить, дает возможность использовать его как инструмент для проведения таргетированных атак, подчеркивают эксперты. Программа, таким образом, может красть специфические SMS, например сообщения от систем "Банк-Клиент", содержащие проверочные mTAN-коды, либо конфиденциальные SMS, предназначенные для самых разных категорий лиц: от простых пользователей до руководителей компаний и государственных структур.