ПартнерыГлавнаяО насУслугиОплатаОтзывыКонтактыНовости
EngРусУкр

Новости

Отловлен Троян - перехватчик SMS для Android

28/06/2012
Российский разработчик антивирусного программного обеспечения «Доктор Веб» предупреждает о появлении обновленной версии шпионской программы «Android.SpyEye». Ее главное предназначение - перехват входящих SMS-сообщений, которые поступают пользователям зараженных мобильных аппаратов.
Новый Троян идентифицирован в вирусных базах как «Android.SpyEye.2.origin». Главным образом распространение Трояна осуществляется посредством якобы защитного программного приложения «Android Security Suite Premium». Более того, для собственной маскировки после запуска вируса на экране смартфона на базе ОС Android отображается картинка щита и какой-то код активации.
По данным специалистов компании «Доктор Веб», которые сумели весьма детально изучить особенности Трояна, «Android.SpyEye.2.origin» относится к представителям шпионов-троянов, предназначенных для получения доступа к текстам SMS-сообщений, поступающих на мобильный аппарат пользователя преимущественно от банковских сервисов в ходе выполнения определенных финансовых операций. Как правило, в этих сообщениях пользователю присылается одноразовый код (по другому его называют mTAN-код). Этот код клиенту банка необходимо ввести на сайте Интернет-банкинга в специальную форму, и таким образом подтвердить проведение денежных транзакций.
 
Вирус настроен на отслеживание нескольких событий системы: SMS_RECEIVED (приход нового SMS), NEW_OUTGOING_CALL (исходящий звонок с мобильного аппарата) и BOOT_COMPLETED (полная загрузка операционной системы).
Киберпреступники кроме этого могут удаленно контролировать работу вируса. Когда приходит новое сообщение, троян «Android.SpyEye.2.origin» сканирует его на предмет обнаружения в тексте предназначенной для него команды. Если команда присутствует, то вирус выполняет ее, а саму  SMS-ку удаляет.
Специалисты компании «Доктор Веб» уверяют, что, преступники имеют возможность активировать несколько функций:
- запустить режим работы, в ходе которого вирус будет отправлять все поступающие SMS-сообщения на запрограмморованный номер, при этом в командном сообщении будет указываться целевой номер;  
- деактивировать описанный выше режим;
- запустить команду самоликвидации (на удаление вируса).
Если во входящем SMS отсутствует команда управления, то информация о сообщении записывается в специальную базу данных.
При осуществлении исходящего звонка, или же после загрузки (перезагрузки) операционной системы троян ожидает в течении 3-х минут, а затем  помещает в упомянутую выше базу данных информацию касательно последнего входящего SMS-сообщения. Если же ввод этих сведений в базу данных был осуществлен раньше, то имеющиеся данные передаются на сервер киберпреступников.
Необходимо также сказать, что после проверки поступающего SMS-сообщения вирус отправляет на сервер злоумышленников данные о номере мобильного телефона и идентификатор зараженного устройства. Соответственно, кроме сведений, составляющих определенную финансовую значимость (mTAN-коды), к злоумышленникам могут попасть и другая важная информация, к примеру, личная переписка жертвы.