Новый Android-троян распространяется под видом MS Word

04.11.2015

Специалисты ИБ-компании Zscaler обнаружили новый Android-троян, который распространяется под видом документа Microsoft Word. Исследователи зафиксировали несколько сотен заражений, в основном, на территории Китая.

Вредонос маскируется под файл данных с иконкой, похожей на ту, которая используется Microsoft Word. После запуска троян работает с повышенными привилегиями, поэтому деинсталлировать его не так просто. Вредонос проводит сканирование на наличие SMS-сообщений и другой идентификационной информации, такой как номер IMEI, номер SIM-карты, ID устройства, контактных данных жертвы и пр. Далее все полученные сведения отправляются по электронной почте или в виде текстовых сообщений на C&C-сервер злоумышленников.

После того как жертва попытается запустить приложение, на экран выводится сообщение об ошибке с предупреждением о том, что данное ПО не совместимо с телефоном, а затем иконка исчезает с дисплея. В то время как демонстрируется сообщение, программа выполняет ряд действий, в том числе отправляет SMS-сообщения на жестко закодированный номер, запускает службу MyService и два потока (SMSTask и MailTask), которые работают в фоновом режиме, а также звонит на номера, обозначенные атакующими.

Как поясняет эксперт Zscaler Шиванг Десаи (Shivang Desai), авторы вредоносного ПО реализовали функции, позволяющие посылать ему номера телефонов в виде SMS. Вредонос перехватывает такие сообщения и звонит на указанный номер. Скорее всего, в данном случае речь идет о премиум-сервисе, причем оператор трояна получает вознаграждение за звонки. Специалист также подчеркнул угрозу конфиденциальности, поскольку SMS могут содержать не только частную переписку жертвы, но и банковские коды и коды подтверждения для других online-сервисов.

Текущая кампания была обнаружена 10 октября этого года. Специалистам Zscaler удалось получить доступ к панели управления, содержащей списки похищенных данных. Отмечается, что за неполный месяц в результате действий злоумышленников пострадало более 300 пользователей.

Источник: www.securitylab.ru