Троянское приложение и sms-червь Android.SmsSend.1404.origin

[Ilya Shabanov]

В начале августа специалистами по информационной безопасности была обнаружена очередная атака, нацеленная на китайских пользователей мобильных Android-устройств и организованная с целью похищения конфиденциальной информации и незаконной рассылки СМС-сообщений. Для этого киберпреступники начали распространение троянского приложения Android.SmsSend.1404.origin, которое выполняло сразу несколько вредоносных функций. В частности, после своего запуска оно проверяло, установлен ли на мобильном устройстве другой Android-троянец (Android.SmsBot.146.origin по классификации компании «Доктор Веб»), и, если он отсутствовал в системе, предлагало выполнить его инсталляцию под видом некоего важного программного дополнения.

После этого Android.SmsSend.1404.origin предлагал пользователю-жертве ввести в специальную форму ряд конфиденциальных сведений, которые затем передавались злоумышленникам. Кроме того, троянец без ведома владельца мобильного устройства рассылал по всем найденным в телефонной книге контактам СМС-сообщения со ссылкой на загрузку своей копии, тем самым реализуя традиционный для СМС-червей функционал и увеличивая масштабы распространения данной угрозы.

Устанавливаемый этой вредоносной программой компонент является представителем распространенного семейства троянцев-ботов, выполняющих по команде злоумышленников определенные действия. В частности, этот бот способен отправлять различные СМС, а также перехватывать все поступающие на инфицированное устройство короткие сообщения.

В прошедшем месяце были зафиксированы новые случаи появления троянцев-блокировщиков семейства Android.Locker, затрудняющих работу с зараженными мобильными устройствами. В августе одной из наиболее заметных угроз такого типа стал троянец Android.Locker.27.origin, о котором компания «Доктор Веб» сообщала ранее. Данная вредоносная программа распространялась киберпреступниками под видом антивирусного приложения и, как и другие подобные вымогатели, блокировала Android-устройства и требовала выкуп за их разблокировку. Однако благодаря особенностям реализованного в этом троянце механизма проверки платежа пострадавшие от действия вымогателя пользователи могли легко и совершенно бесплатно избавиться от этой неприятной угрозы. В частности,Android.Locker.27.origin проверял, состоит ли вводимый код оплаты из 14 цифр и не содержит ли определенных цифровых комбинаций. Если эти условия выполнялись, троянец снимал блокировку, после чего инициировал свое удаление.

В августе вновь были зафиксированы случаи распространения различных Android-троянцев, предназначенных для атаки на южнокорейских пользователей. Как и прежде, главным методом распространения этих угроз стали нежелательные СМС-рассылки, организованные киберпреступниками. В течение месяца специалистами компании «Доктор Веб» было отмечено более 100 подобных спам-кампаний, при этом с их помощью наибольшее распространение получили такие вредоносные приложения как Android.Banker.28.origin (26,21%), Android.SmsBot.121.origin(23,30%), Android.SmsSpy.78.origin (15,54%) и Android.MulDrop.14.origin (9,71%).

Несмотря на то, что распространение мобильных Android-троянцев с применением СМС-спама уже давно является стандартной практикой для многих киберпреступников, другие методы доставки вредоносных программ на мобильные устройства пользователей также не остаются без внимания. Например, в прошедшем месяце специалистами по информационной безопасности была зафиксирована массовая спам-рассылка сообщений электронной почты, которые содержали ссылку на загрузку опасного Android-троянца Android.Backdoor.96.origin. Данная вредоносная программа представляет собой бэкдор, распространяющийся под видом антивирусного приложения и способный выполнять различные действия по команде злоумышленников.

В частности, троянец может красть различную конфиденциальную информацию, такую как СМС-сообщения, список контактов, историю веб-браузера, отслеживать GPS-координаты зараженного мобильного устройства, автоматически активировать встроенный микрофон для прослушивания окружения, выполнять USSD-запросы, демонстрировать на экране различные сообщения, а также записывать все совершаемые звонки в аудиофайлы, которые вместе с прочими данными загружаются на сервер злоумышленников.