Исследователи компании Check Point сообщили о продолжающейся вредоносной кампании с использованием банковского трояна Swearing для Android-устройств.
Главной особенностью вредоноса является способ его распространения. Троян попадает на устройства жертв через SMS-сообщения с ссылкой на троян, отправленные с поддельных базовых станций.
Использование базовых станций для распространения вредоносного ПО предрекали эксперты компании Avast еще в 2014 году, однако практическое применение этот способ нашел лишь сейчас. В настоящее время с помощью поддельных базовых станций распространяется только Swearing и только в Китае. Впервые троян был обнаружен специалистами компании Tencent. После обнаружения последовал полицейский рейд, и авторы Swearing были арестованы.
Тем не менее, как сообщает Check Point, по состоянию на март 2017 года вредоносная кампания с использованием вредоноса продолжается. Подобно другим банковским троянам, Swearing способен похищать данные платежных карт и другую конфиденциальную информацию. Кроме того, вредонос может обходить двухфакторную аутентификацию.
Как правило, приложения для мобильного банкинга отправляют пользователям SMS-сообщение с одноразовым кодом, который нужно ввести наряду с паролем для авторизации в программе. Swearing подменяет легитимное приложения для обмена сообщениями своим собственным и перехватывает SMS, делая двухфакторную аутентификацию бесполезной.
Помимо поддельных базовых станций, троян также распространяется с помощью загрузчиков, встроенных в вредоносные приложения. Примечательно, Swearing не подключается к C&C-серверу, а отправляет данные злоумышленникам в SMS-сообщениях или по электронной почте.
