Новый троянец ворует SMS-сообщения с мобильных устройств пользователей

Компания «Доктор Веб» сообщила об обнаружении новой версии шпиона Android.SpyEye, который перехватывает входящие СМС-сообщения пользователей мобильных устройств.

Данное вредоносное ПО скрывается за приложением Android Security Suite Premium, которое якобы обеспечивает защиту мобильного устройства от разного рода угроз. После запуска программы на экране мобильного устройства также отображаются образ щита и некий код активации.

Новая версия троянца добавлена в вирусные базы как Android.SpyEye.2.origin.

Детально изучив данного троянца, специалисты «Доктор Веб» пришли к выводу, что Android.SpyEye.2.origin является представителем троянцев-шпионов, основной задачей которых является получение доступа ко входящим СМС-сообщениям от различных банковских систем при выполнении некоторых финансовых операций. В частности, в подобных сообщениях может содержаться, к примеру, одноразовый код (т. н. mTAN-код), который необходимо ввести в специальную графу, чтобы подтвердить выполнение какой-либо денежной транзакции.

По словам специалистов, троянец отслеживает несколько системных событий: SMS_RECEIVED (получение нового СМС-сообщения), NEW_OUTGOING_CALL (исходящий с мобильного устройства звонок) и BOOT_COMPLETED (загрузка операционной системы).

Злоумышленники могут определенным образом удаленно контролировать троянца. При поступлении нового сообщения он проверяет, содержится ли в тексте предназначенная для него команда, и если она имеется, то вредоносное ПО выполняет ее, а само сообщение стирает.

Несколько функций:
- активация режима работы, при котором троянец отправляет все вновь поступающие СМС на заданный номер, при этом целевой номер указывается в командном сообщении;
- деактивация этого режима;
- команда на удаление троянца.

Если управляющая команда во входящем сообщении отсутствует, информация о нем добавляется в специальную базу данных.

В случае обнаружения исходящего вызова, а также после загрузки ОС троянец ожидает три минуты и помещает в ту же базу данных сведения о последнем входящем СМС-сообщении. Если же добавление этих сведений в базу было сделано ранее, то имеющиеся данные загружаются на сервер злоумышленников.

Помимо этого, после обработки входящего СМС-сообщения троянец отправляет на сервер мошенников информацию о номере телефона и идентификатор инфицированного устройства.