Троянец ворует SMS

Разработчики антивирусного ПО обнаружили новую вредоносную программу для мобильной платформы Android. Ее особенность в том, что она способна перехватывать входящие SMS-сообщения и перенаправлять их злоумышленникам. В компании «Доктор Веб» отмечают, что троянец представляет серьезную угрозу для пользователей, поскольку в украденных им сообщениях могут находиться, помимо прочего, проверочные коды, используемые для подтверждения денежных операций.

«Троянец, обнаруженный несколько дней назад, является вторым известным представителем семейства Android.Pincer, – сообщают в компании «Доктор Веб». – Как и ее предшественник, обновленная вредоносная программа распространяется под видом сертификата безопасности, который якобы требуется установить на мобильное Android-устройство. В случае, если неосторожный пользователь выполнит установку и попытается запустить троянца, Android.Pincer.2.origin демонстрирует ложное сообщение об успешной установке сертификата, после чего до поры до времени не будет проявлять сколько-нибудь заметной активности».

Для того, чтобы загружаться в дальнейшем вместе с операционной системой, троянец регистрирует системный сервис CheckCommandServices, который в дальнейшем работает в качестве фоновой службы. В случае успешного старта при очередном включении устройства вредоносная программа подключается к удаленному серверу злоумышленников и загружает на него ряд сведений о смартфоне, включая название модели, серийный номер, IMEI-идентифиактор, название оператора связи, номер телефона, версию операционной системы и информацию о том, имеется ли root-доступ.

После этого вредоносная программа ждет, пока от злоумышленников поступит управляющее SMS-сообщение с текстом вида «command: [название команды]», содержащее указание к дальнейшим действиям. Например, начать перехват сообщений с указанного номера, отправить SMS с указанными параметрами, выполнить USSD-запрос, вывести сообщение на экран мобильного устройства, изменить адрес управляющего сервера и так далее.

Особенный интерес представляет команда start_sms_forwarding, которая позволяет злоумышленникам указывать троянцу, сообщения с какого номера ему нужно перехватить. Функция дает возможность использовать вредоносную программу в качестве инструмента для проведения таргетированных атак и красть таким образом специфические SMS-сообщения, например, от систем «Банк-Клиент», содержащие проверочные коды, или конфиденциальные SMS, предназначенные для самых разных категорий лиц, в том числе для руководителей компаний и госструктур.