Стало известно об относительно новом Android-троянце, который специализируется на краже банковской информации путем перехвата SMS-сообщений.

Исследователи из компании zScaler обнаружили циркулирующий 888.apk, содержащий троянец, который пока не получил название. Как и многие другие типы зловредов до него, новый троянец, похоже, нацелен на китайских пользователей Android.

Основными задачами троянца являются перехват сообщений, касающихся банковского обслуживания, и отправка этих перехваченных SMS-сообщений по электронной почте самому себе. Затем троянец отправляет информацию на заданную в коде китайскую электронную почту на сервере NetEase, Inc. и заданный в коде китайский телефонный номер.

Троянец умеет работать с сервисом SMS в обе стороны, то есть он так же по SMS получает команды от сервера управления и контроля. Злоумышленник может просто послать сообщение «intercept#», чтобы начать сбор данных, и другое сообщение, «interceptstop#», чтобы прекратить его.

Когда приходит SMS-сообщение, троянец проверяет его на включение ряда ключевых слов — «Pay», «Check», «Bank», «Balance» и «Validation», что является этапом процесса сбора данных.

По утверждению zScaler, в дополнение к перехвату текстовых сообщений пользователей Android-устройств троянец также может останавливать или прерывать голосовые вызовы пользователей и отправлять номер вызывающего абонента злоумышленникам по электронной почте. Также, судя по всему, имеется и функция отправки украденной информации, такой как список контактов и SMS-данные, через web, но этот код проанализирован еще не до конца.

«[Код], похоже, в этой версии нефункционален, и автор зловреда, возможно, еще тестирует эту функцию, что видно из использования частного IP-адреса», — написал Вирал Ганди (Viral Gandhi), исследователь-безопасник компании.

Свое сообщение Ганди завершил несколькими иллюстрациями действий троянца, включая SMS-сообщения, базы данных контактов и телефонные номера, которые ему удалось украсть:

sms1

 

sms2

Троянцы-банкеры для Android попадаются на территории США не так уж часто, но они весьма популярны в других странах, особенно там, где банки используют не столь строгие меры аутентификации.

Прошлой осенью бразильские клиенты банков были атакованы двумя приложениями, замаскированными под банковские программы. В действительности приложения являлись грубо сработанными троянцами, предназначенными для кражи учетных данных пользователей интернет-банкинга. В 2013 году другой троянец-банкер под Android, Svpeng, был обнаружен исследователями «Лаборатории Касперского». Svpeng распространялся посредством SMS-спама и был нацелен на российские банки. Как и бразильские троянцы, Svpeng охотился за именами пользователей и паролями для систем интернет-банкинга.

Троянец, обнаруженный zScaler, слегка напоминает один из вариантов Android-зловреда HeHe, пойманного компанией FireEye в прошлом январе, который также крадет SMS-сообщения и перехватывает голосовые вызовы.

Категории: Вредоносные программы