Новая угроза для вашего Android

Сегодня уже никого не удивишь таким способом кражи денег у владельцев Android-смартфонов, как отправка коротких сообщений на платные номера. Многие пользователи хорошо проинформированы о таких угрозах и привыкли следить за своим мобильным счетом. Однако специалисты «Лаборатории Касперского» обнаружили принципиально новую схему работы мобильных зловредов, которая позволяет злоумышленникам быстро и незаметно украсть у ничего не подозревающей жертвы значительную сумму денег.

Особенность текущей схемы работы SMS-троянцев, рассылающих сообщения на премиум-номера, заключается в том, что при монетизации украденных средств, значительная часть денег уходит «посредникам», зачастую ни о чем не подозревающим: оператору сотовой связи, контент-провайдеру и организаторам партнерской программы. Поэтому чаще всего зловред старается отправить сразу 2-3 дорогих сообщения на весомую сумму, например, 1000 рублей, что привлекает внимание жертвы. В такой ситуации появление новых способов отъема денег у населения было лишь вопросом времени.

В июле эксперты «Лаборатории Касперского» обнаружили троянец, задачей которого было выполнение инструкций, поступающих с удаленного командного сервера. Это характерное поведение для вредоносов такого класса, однако, дальнейшее расследование показало, что новый SMS-зловред предоставлял своим владельцам возможность хищения денег не с мобильного, а c банковского счета жертвы.

Данный троянец лишен самостоятельности и, связываясь с управляющим сервером, только транслирует команды злоумышленника, пересылая обратно результат. Специалистам  «Лаборатории Касперского» удалось перехватить несколько поступивших команд. В ходе выполнения одной из них троянец отправил SMS со словом «BALANCE» на номер сервиса «Мобильного Банка» одного из крупных российских банков. Получив ответ от банка с информацией о подключенном счете и его балансе, зловред передавал его преступникам.

Такое поведение троянца позволяет предположить, что следующим шагом будет перевод любой доступной в «Мобильном банке» суммы на мобильный номер злоумышленников. Далее украденные деньги могут быть использованы или обналичены. Например, большая тройка операторов сотовой связи позволяет переводить деньги с мобильного счета на QIWI кошелек, откуда впоследствии их можно вывести на банковскую карту и обналичить. А для того чтобы жертва как можно дольше оставалась в неведении, троянец тщательно заметает следы своей деятельности, перехватывая SMS и звонки со стороны банка.

Для распространения Trojan-SMS.AndroidOS.Svpeng.a злоумышленники используют проверенный путь: взлом легитимных сайтов и перенаправление их посетителей, заходящих с мобильного устройства, на вредоносный ресурс. Там пользователю предлагают скачать обновление Adobe Flash Player, под личиной которого и скрывается зловред.

Для того чтобы усложнить собственное удаление Trojan-SMS.AndroidOS.Svpeng запрашивает права Device Administrator.

 

В результате кнопка удаления фальшивого приложения, расположенная в настройках ОС, становится неактивной. И это может стать проблемой для неподготовленного пользователя.

Если же пользователь попытается лишить троянца прав Device Administrator, то увидит запрос на сброс пользовательских настроек и возврат зараженного устройства к заводским настройкам.

На самом деле Trojan-SMS.AndroidOS.Svpeng не может выполнить сброс настроек, с помощью этого сообщения злоумышленники рассчитывают напугать пользователя, чтобы тот не препятствовал работе троянца.

«Мы хотим напомнить, что мобильные зловреды постоянно эволюционируют, реализовывая принципиально новые схемы атак, – комментирует появление новой схемы кражи денежных средств Виктор Чебышев, ведущий антивирусный эксперт «Лаборатории Касперского». – Быть готовым к новым угрозам можно только в случае если ваше Android-устройство защищено антивирусным приложением с регулярно обновляемыми базами».