На днях фирма «Доктор Веб» предупредила о новой опасности – появлении очередной версии «шпионского» Android.SpyEye, ориентированного на перехват кибермошенниками входящих sms-сообщений обладателей популярных смартфонов. Троянская программа маскируется под необходимое «андроид»-приложение Security Suite Premium, которое вроде бы способно обеспечивать защиту мобильных устройств от вредоносного программного мусора.
Очередная версия «шпиона», добавленная в базы вирусов под именем Android.SpyEye.2.origin, гуляет в Сети под видом полезного приложения защиты, имея соответствующий ярлык. После первого запуска трояна на дисплее смартфона отображается также и декоративный код псевдоактивации, и графический образ щита.
Не так давно уже публиковалась информация о коварном трояне, однако специалисты фирмы «Доктор Веб» сумели изучить его «шпионские» особенности более детально. Новый Android.SpyEye - представитель троянов-шпионов, основная цель которых - получение доступа к sms-сообщениям, приходящим на мобильный телефон клиента от банковских структур при выполнении некоторых финансовых операций. Как правило, эти запросы содержатся mTAN-коды. Пользователю необходимо ввести полученный одноразовый код в специальную графу для подтверждения выполняемой платежной транзакции.
«Засланный казачок» зорко отслеживает ряд системных событий, а именно: исходящий звонок (NEW_OUTGOING_CALL), получение очередного входящего сообщения (SMS_RECEIVED), загрузка ОС (BOOT_COMPLETED). Сетевые злоумышленники имеют, к сожалению, возможность удаленно контролировать внедренного трояна. При поступлении любого сообщения на инфицированное мобильное устройство «шпион» проверяет текст, выискивая предназначенную для него команду. Обнаружив ее, коварный троян выполняет задачу, само же важное смс-сообщение он сразу удаляет.
Преступники способны задействовать ряд опасных функций: например, активацию рабочего режима, при котором «шпион» перенаправляет вновь поступающие СМС-ки на специально заданный номер (в сообщении-команде специально указывается целевой номер); временную деактивацию рабочего режима; финальную команду для полного удаления засланного трояна. Кроме того, при отсутствии управляющей команды во входящем сообщении необходимая информация добавляется прямо в базу специальных данных. Обнаружив исходящий вызов, шпионская программа выжидает 180 секунд после очередной загрузки «операционки», а потом размещает в той же спецбазе данных полученные сведения о последнем входящем сообщении. В случае, если эти сведения добавлены в базу ранее, все имеющиеся данные прямо загружаются на сервер компьютерных воров.
Особо специалистами отмечается: после первичной обработки поступающих сообщений «шпион» отправляет жуликам на сервер информацию о телефонном номере, идентификатор «зараженного» мобильного устройства. Получается, что кроме данных, непосредственно представляющих серьезную финансовую ценность (те же одноразовые коды), в грязные руки веб-криминала попадают и важные персональные сведения, к примеру, фрагменты частной переписки гражданина, владельца инфицированного мобильного устройства.
