29 квітня 2014 року
Для досягнення своїх цілей підприємливі кіберзлочинці вже не раз експлуатували образ тієї чи іншої відомої компанії або торгової марки, за допомогою якого можна викликати інтерес і довіру певного кола користувачів. Найчастіше інтернет-шахраї застосовують таку тактику з метою викрадення конфіденційної інформації, фішингу, просування сумнівних сервісів, а також для поширення шкідливих програм. Саме останній сценарій використовувався в недавно зафіксованої фахівцями компанії «Доктор Веб» атаці: зловмисники, використовуючи ім'я і популярність сервісу безкоштовних оголошень Avito.ru, організували рассику СМС-спаму, за допомогою якого поширювався Android-троянець.
В отриманому користувачами СМС, нібито відправленому популярної службою безкоштовних оголошень Avito.ru, повідомлялося про який з'явився відгуку на розміщене раніше оголошення, а також перебувала посилання, по якій потрібно перейти для ознайомлення з ним. Таким чином, цільовою аудиторією даної атаки в більшій мірі були справжні клієнти сервісу, насправді чекали відповіді на своє оголошення. Однак після переходу за вказаною адресою замість передбачуваної веб-сторінки користувачі потрапляли на шахрайський сайт, з якого було завантажено троянця Android.SmsSpy.88 .origin, що представляє собою СМС-бота.
Після установки і запуску Android.SmsSpy.88 .origin запитує у користувача доступ до функцій адміністратора мобільного пристрою (вельми популярний в даний час метод самозахисту шкідливих Android-програм), після чого видаляє значок з головного екрану операційної системи. Далі за допомогою СМС-повідомлення троянець передає зловмисникам ряд загальних даних про зараженому мобільному пристрої: його назва і виробника, IMEI-ідентифікатор, відомості про оператора, а також про використовувану версії операційної системи. Потім шкідлива програма з'єднується з віддаленим сервером і чекає від нього надходження команд, серед яких можуть бути вказівки на запуск або зупинку сервісу з перехоплення вхідних СМС, відправлення коротких повідомлень із заданим текстом на вказаний номер, здійснення викликів, а також розсилку СМС по всіх наявних в телефонній книзі контактів.
Крім того, зловмисники можуть управляти троянцем і за допомогою СМС-повідомлень. У такому вигляді Android.SmsSpy.88 .origin здатний приймати команди на відправку СМС з заданими параметрами, а також на включення або відключення безумовної переадресації для всіх вхідних телефонних дзвінків.
Таким чином, володіючи досить типовим функціоналом по розсилці СМС-повідомлень, даний троянець виділяється здатністю виконати переадресацію викликів на заданий зловмисниками номер, що фактично дозволяє їм встановити контроль над усіма вступниками дзвінками. На практиці це дає кіберзлочинцям можливість не тільки отримати доступ до різної конфіденційної інформації, але також в деяких випадках здійснити цілий ряд шахрайських дій.
Крім зазначеної версії троянця, фахівцями компанії «Доктор Веб» також були виявлені і інші його модифікації (наприклад, Android.SmsSpy.15 і Android.SmsSpy.17 і Android.SmsSpy.21 ), В яких була використана обфускація коду, покликана ускладнити аналіз шкідливих програм, а також знизити ймовірність їх виявлення антивірусними засобами. З моменту внесення даних загроз в вірусну базу компанії антивірусні продукти Dr.Web для Android виявили їх більш ніж у 2 300 користувачів. Таким чином, майже за місяць ці троянці встигли отримати досить широке поширення.
Варто відзначити, що в разі надання деяким з цих модифікацій привілеїв адміністратора пристрою недосвідчені користувачі можуть зіткнутися з труднощами при спробі їх видалення, т. К. Відповідна опція в системному меню в подальшому стає недоступною. Щоб успішно деінсталювати цих троянців, потрібно або ручної відгук відповідних прав, або використання антивірусного додатки, здатного боротися з подібними погрозами.
Компанія «Доктор Веб» рекомендує користувачам уважно ставитися до вступників СМС-повідомленнями сумнівного походження і закликає не піддаватися на виверти зловмисників.
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.