В текущем году FireEye зафиксировала несколько фишинговых SMS-кампаний на территории Западной Европы. За период с февраля по июнь было обнаружено 55 вредоносных бинарников, используемых в этих атаках; примечательно, что во всех случаях так называемые смишеры распространяли ссылки на оверлейных Android-зловредов.

Такие вредоносные программы помогают злоумышленникам похищать учетные данные с мобильных устройств с помощью прозрачного экрана, имитирующего веб-форму, отображаемую легитимным приложением. Все данные, введенные жертвой на этом фишинговом экране, отправляются на удаленный сервер, контролируемый атакующими.

Вредоносные сообщения, обнаруженные FireEye в ходе смишинг-кампаний, обычно имитировали уведомление о недоставке почтового отправления или об MMS. Помимо идентификаторов онлайн-банкинга злоумышленников также интересовали учетные данные WhatsApp, Google Play, YouTube, Ubercab, WeChat и веб-сервисов наземной почты. Больше прочих от атак смишеров страдали жители Дании и Италии, несколько спам-рассылок были зафиксированы на территории Германии и Австрии.

Исследователи также отметили, что по мере развития этих спам-кампаний вредоносный код подвергался усовершенствованиям: расширялся список атакуемых приложений, появлялись обфускация и новые защитные функции. Так, например, некоторые оверлейные зловреды научились обходить ограничения App Ops, службы, появившейся с выходом Android 4.3 и позволяющей вводить запрет на смену разрешений для приложения в ходе его исполнения.

Для раздачи вредоносного ПО злоумышленники использовали специально зарегистрированные сайты, взломанные ресурсы и службы сокращения ссылок. В ходе наблюдаемых кампаний исследователи совокупно выявили 30 вредоносных коротких ссылок, 27 из них были созданы на Bit.ly. Согласно ведущейся на таких сервисах статистике, по вредоносным ссылкам было совокупно совершено не менее 161,3 тыс. переходов.

Эксперты также идентифицировали 12 командных серверов в пяти странах: ОАЭ, Германии, Латвии, Италии и Нидерландах. Адреса этих C&C были жестко прописаны в коде всех проанализированных образцов, для обмена с ними все Android-зловреды использовали один и тот же протокол.

Категории: Аналитика, Вредоносные программы, Спам