Menu

Троянець Android.Pincer краде СМС-ки

Троянець, виявлений фахівцями компанії «Доктор Веб» кілька днів тому, є другим відомим представником сімейства Android.Pincer. Як і її попередник, оновлена шкідлива програма розповсюджується під виглядом сертифіката безпеки, який нібито потрібно встановити на мобільний Android-пристрій. У разі якщо необережний користувач виконає установку і спробує запустити троянця, Android.Pincer.2.origin продемонструє неправдиве повідомлення про успішну установку сертифіката, після чого до пори до часу не буде проявляти скільки-небудь помітної активності.

 

Троянец Android.Pincer крадет СМС-ки

Щоб завантажуються разом з операційною системою, троянець реєструє системний сервіс CheckCommandServices, який надалі працює в якості фонової служби.

 

Троянец Android.Pincer крадет СМС-ки

У разі успішного старту при черговому включенні мобільного пристрою Android.Pincer.2.origin підключається до віддаленого сервера зловмисників і завантажує на нього ряд відомостей про мобільному пристрої. Серед них:

  • назва моделі;
  • серійний номер пристрою;
  • IMEI-ідентифікатор;
  • назва використовуваного оператора зв'язку;
  • номер стільникового телефону;
  • мова, що використовується за умовчанням в системі;
  • версія операційної системи;
  • інформація про те, чи є root-доступ.

Далі шкідлива програма чекає надходження від зловмисників керуючого СМС-повідомлення з текстом виду command: [назва команди]», містить вказівку до подальших дій. Кіберзлочинцями передбачені наступні директиви:

  • start_sms_forwarding [номер телефону] - почати перехоплення повідомлень з зазначеного номера;
  • stop_sms_forwarding - завершити перехоплення повідомлень;
  • send_sms [номер телефону та текст] - відправити СМС-повідомлення з зазначеними параметрами;
  • simple_execute_ussd - виконати USSD-запит;
  • stop_program - припинити роботу;
  • show_message - вивести повідомлення на екран мобільного пристрою;
  • set_urls - змінити адресу керуючого сервера;
  • ping - відправити СМС-повідомлення з текстом pong на заздалегідь зазначений номер;
  • set_sms_number - змінити номер, на який йде повідомлення з текстом pong.

Команда start_sms_forwarding представляє особливий інтерес, оскільки дозволяє зловмисникам вказувати троянцю, повідомлення з якого номеру йому необхідно перехопити. Дана функція дає можливість використовувати шкідливу програму як інструмент для проведення цільових атак і красти, таким чином, специфічні СМС-повідомлення, наприклад повідомлення від систем «Банк-Клієнт», що містять перевірочні mTAN-коди, або конфіденційні СМС, призначені для самих різних категорій осіб: від простих користувачів до керівників компаній і державних структур.

|