Новый Android-троян распространяется под видом MS Word

Тема в разделе "Новости мобильных технологий", создана пользователем лис.хвост, 5 ноя 2015.

  1. лис.хвост
    Оффлайн

    лис.хвост VIP Разработчик

    Сообщения:
    630
    Симпатии:
    983
    Специалисты ИБ-компании Zscaler обнаружили новый Android-троян, который распространяется под видом документа Microsoft Word. Исследователи зафиксировали несколько сотен заражений, в основном, на территории Китая.

    Вредонос маскируется под файл данных с иконкой, похожей на ту, которая используется Microsoft Word. После запуска троян работает с повышенными привилегиями, поэтому деинсталлировать его не так просто. Вредонос проводит сканирование на наличие SMS-сообщений и другой идентификационной информации, такой как номер IMEI, номер SIM-карты, ID устройства, контактных данных жертвы и пр. Далее все полученные сведения отправляются по электронной почте или в виде текстовых сообщений на C&C-сервер злоумышленников.

    После того как жертва попытается запустить приложение, на экран выводится сообщение об ошибке с предупреждением о том, что данное ПО не совместимо с телефоном, а затем иконка исчезает с дисплея. В то время как демонстрируется сообщение, программа выполняет ряд действий, в том числе отправляет SMS-сообщения на жестко закодированный номер, запускает службу MyService и два потока (SMSTask и MailTask), которые работают в фоновом режиме, а также звонит на номера, обозначенные атакующими.

    Как поясняет эксперт Zscaler Шиванг Десаи (Shivang Desai), авторы вредоносного ПО реализовали функции, позволяющие посылать ему номера телефонов в виде SMS. Вредонос перехватывает такие сообщения и звонит на указанный номер. Скорее всего, в данном случае речь идет о премиум-сервисе, причем оператор трояна получает вознаграждение за звонки. Специалист также подчеркнул угрозу конфиденциальности, поскольку SMS могут содержать не только частную переписку жертвы, но и банковские коды и коды подтверждения для других online-сервисов.

    Текущая кампания была обнаружена 10 октября этого года. Специалистам Zscaler удалось получить доступ к панели управления, содержащей списки похищенных данных. Отмечается, что за неполный месяц в результате действий злоумышленников пострадало более 300 пользователей.

     
    Dragokas, orderman, Kиpилл и ещё 1-му нравится это.

Поделиться этой страницей