Десятки тысяч южнокорейских пользователей могли стать жертвами Android-трояна

Компания «Доктор Веб» зафиксировала массовое распространение нежелательных SMS-сообщений, которые содержали ссылку на загрузку Android-трояна Android.SmsBot.75.origin, предназначенного для кражи конфиденциальных данных у южнокорейских пользователей, а также незаметной отправки SMS. По оценкам компании, общее число пострадавших владельцев мобильных Android-устройств может составить несколько десятков тысяч человек. Об этом CNews в сообщили в «Доктор Веб».

Зафиксированные специалистами «Доктор Веб» спам-сообщения информировали потенциальных жертв о якобы неполученном почтовом отправлении, о статусе которого можно было узнать, перейдя по предоставленной в тексте короткой ссылке. В случае перехода по указанному веб-адресу пользователь перенаправлялся на страницу мошеннического блога, размещенного на платформе Blogger от корпорации Google и оформленного так, чтобы создать ложное впечатление его принадлежности к службе курьерской почтовой доставки. При попытке ознакомиться с предлагаемой информацией на мобильное устройство жертвы загружался троян Android.SmsBot.75.origin, размещенный в облачном хранилище Dropbox, где у киберпреступников имелась специальная учетная запись.

Таким образом, данная спам-кампания практически ничем не отличается от множества других подобных, организованных в Южной Корее, однако по своим масштабам она является одной из самых крупных за последнее время, подчеркнули в «Доктор Веб». Так, злоумышленники произвели почти 40 спам-рассылок, а также задействовали как минимум пять различных вариантов блогов, содержащих ссылки, которые вели на загрузку трех модификацийAndroid.SmsBot.75.origin.

В свою очередь, согласно открытой статистике, имеющейся на одной из этих страниц, число посетивших ее потенциальных жертв за несколько дней составило более 30 тыс. Учитывая общее количество использованных мошеннических блогов, конечное число пострадавших пользователей может во много раз превышать эту цифру.

Чтобы не вызывать лишних подозрений, после своего запуска Android.SmsBot.75.origin обращается к сайту реально существующей почтово-транспортной компании и загружает его в режиме WebView, то есть отображает в качестве веб-приложения. Одновременно с этим происходит удаление значка вредоносной программы с главного экрана мобильного устройства и активизация троянского сервиса MainService, который незаметно выполняет всю вредоносную деятельность. В частности, троян загружает информацию из телефонной книги на удаленный сервер и затем в постоянном режиме ожидает от него поступления команды, в которой будут указаны параметры для отправки SMS-сообщения — номер получателя и текст. Кроме того, вредоносная программа создает список номеров, звонки и SMS с которых не будут видны пользователю. Таким образом, Android.SmsBot.75.origin может быть использован не только как шпион или SMS-троян, но и как средство кражи денежных средств из систем мобильного банкинга, указали в компании.

Помимо упомянутой спам-кампании, Android.SmsBot.75.origin уже распространялся злоумышленниками с применением и других нежелательных SMS-рассылок, в которых он выдавался за некое уведомление, поступившее из полиции. Таким образом, в «Доктор Веб» не исключают, что в будущем мошенники предпримут новые попытки атак на пользователей.

Все известные модификации этого бота детектируются антивирусными продуктами Dr.Web для Android и не представляют угрозы для их пользователей, подчеркнули в компании.

©  CNews