Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — зафиксировала рассылку SMS-спама, при помощи которого распространялся Android-троян. Злоумышленники проводили рассылку от имени службы бесплатных объявлений Avito.ru, сообщили CNews в «Доктор Веб» .

Так, в полученном пользователями SMS сообщалось о появившемся отклике на размещенное ранее на Avito...

Компания «Доктор Веб» — российский производитель антивирусных средств защиты информации — зафиксировала рассылку SMS-спама, при помощи которого распространялся Android-троян. Злоумышленники проводили рассылку от имени службы бесплатных объявлений Avito.ru, сообщили CNews в «Доктор Веб» .

Так, в полученном пользователями SMS сообщалось о появившемся отклике на размещенное ранее на Avito.ru объявление, а также находилась ссылка, по которой требовалось перейти для ознакомления с ним. Таким образом, целевой аудиторией данной атаки в большей степени являлись настоящие клиенты сервиса, в действительности ожидавшие ответа на свое объявление. Однако после перехода по указанному адресу вместо предполагаемой веб-страницы пользователи попадали на мошеннический сайт, с которого происходила загрузка трояна Android.SmsSpy.88.origin, представляющего собой SMS-бота, указали в компании.

После установки и запуска Android.SmsSpy.88.origin запрашивает у пользователя доступ к функциям администратора мобильного устройства (весьма знаменитый в настоящее время метод самозащиты вредоносных Android-программ), после чего удаляет значок с главного экрана операционной системы. Далее при помощи SMS-сообщения троян передает злоумышленникам ряд общих данных о зараженном мобильном устройстве: его название и производителя, IMEI-идентификатор, сведения об операторе, а также об используемой версии операционной системы. Затем вредоносная программа соединяется с удаленным сервером и ждет от него поступления команд, среди которых могут быть указания на запуск или остановку сервиса по перехвату входящих SMS, отправку коротких сообщений с заданным текстом на указанный номер, осуществление вызовов, а также рассылку SMS по всем имеющимся в телефонной книге контактам.

Кроме того, злоумышленники могут управлять трояном и при помощи SMS-сообщений. В таком виде Android.SmsSpy.88.origin способен принимать команды на отправку SMS с заданными параметрами, а также на включение или отключение безусловной переадресации для всех входящих телефонных звонков.

«Обладая очень типичным функционалом по рассылке SMS-сообщений, данный троян выделяется способностью выполнить переадресацию вызовов на заданный злоумышленниками номер, что действительно позволяет им установить контроль над всеми поступающими звонками, — подчеркнули в «Доктор Веб». — На практике это дает киберпреступникам возможность не только получить доступ к различной конфиденциальной информации, но также в некоторых случаях осуществить целый ряд мошеннических действий».

Помимо указанной версии трояна, специалистами «Доктор Веб» также были выявлены и другие его модификации (например, Android.SmsSpy.15 и Android.SmsSpy.17 и Android.SmsSpy.21), в которых была использована обфускация кода, призванная осложнить анализ вредоносных программ, а также снизить вероятность их обнаружения антивирусными средствами. С момента внесения данных угроз в вирусную базу компании антивирусные продукты Dr.Web для Android обнаружили их более чем у 2 300 пользователей. Таким образом, почти за месяц эти трояны успели получить очень широкое распространение, отметили в «Доктор Веб».

В компании также обратили внимание на то, что в случае предоставления некоторым из этих модификаций привилегий администратора устройства неопытные пользователи могут столкнуться с затруднениями при попытке их удаления, так как соответствующая опция в системном меню в дальнейшем становится недоступной. Чтобы успешно деинсталлировать этих троянов, потребуется либо ручной отзыв соответствующих прав, либо использование антивирусного приложения, способного бороться с подобными угрозами.