Совсем недавно появился новый Android-троян, который специализируется на краже банковской информации путем перехвата SMS-сообщений.
Исследователи из компании zScaler обнаружили циркулирующий 888.apk, содержащий троянец, который пока не получил название. Цель нового троянца – пользователи Android.
Основными задачами троянца являются перехват сообщений, касающихся банковского обслуживания, и отправка этих перехваченных SMS-сообщений по электронной почте самому себе. Затем троянец отправляет информацию на заданную в коде китайскую электронную почту на сервере NetEase, Inc. и заданный в коде китайский телефонный номер. Троянец работает с сервисом SMS в обе стороны, то есть он так же по SMS получает команды от сервера управления и контроля.
Злоумышленник может просто послать сообщение «intercept#», чтобы начать сбор данных, и другое сообщение, «interceptstop#», чтобы прекратить его. Когда приходит SMS-сообщение, троянец проверяет его на включение ряда ключевых слов — «Pay», «Check», «Bank», «Balance» и «Validation», что является этапом процесса сбора данных.
Эксперты по информационной безопасности компании zScaler заявили, что в дополнение к перехвату текстовых сообщений пользователей Android-устройств троянец также может останавливать или прерывать голосовые вызовы пользователей и отправлять номер вызывающего абонента злоумышленникам по электронной почте. Кроме того, судя по всему, имеется и функция отправки украденной информации, такой как список контактов и SMS-данные, через web, но этот код еще не полностью проанализирован.
«[Код], похоже, в этой версии нефункционален, и автор зловреда, возможно, еще тестирует эту функцию, что видно из использования частного IP-адреса», — написал Вирал Ганди (Viral Gandhi), исследователь компании. Свое сообщение Ганди завершил несколькими иллюстрациями действий троянца, включая SMS-сообщения, базы данных контактов и телефонные номера, которые ему удалось украсть:
Банковские трояны для Android попадаются на территории США не очень часто, но они весьма популярны в других странах, особенно там, где банки используют не столь строгие меры аутентификации.
Прошлой осенью бразильские клиенты банков были атакованы двумя приложениями, замаскированными под банковские программы. В действительности приложения являлись грубо сработанными троянцами, предназначенными для кражи учетных данных пользователей интернет-банкинга. Новый троянец немного напоминает один из вариантов Android-зловреда HeHe, который также крадет SMS-сообщения и перехватывает голосовые вызовы.
