Новости и события » Hi-Tech » Обнаружена фишинговая SMS-кампания против пользователей Android

Обнаружена фишинговая SMS-кампания против пользователей Android

Обнаружена фишинговая SMS-кампания против пользователей Android

Исследователи компании FireEye опубликовали отчет по вредоносной SMS-кампании Smishing, направленной на пользователей Android. В период с февраля по май 2016 года злоумышленники осуществили 3 фишинговые кампании на пользователей в Дании и Италии.

Действия злоумышленников были очень похожи на кампанию RuMMS, нацеленную на российский сегмент. В отличии от RuMMS, в описываемых 3 кампаниях применялась техника подмены экрана пользователя. Злоумышленники отображали пользователю поддельный интерфейс банковского приложения вместо настоящего и перехватывали учетные данные для доступа к онлайн-банкингу.

На рисунке ниже показан алгоритм действий злоумышленников:

Злоумышленники изначально организовывают работу C&C серверов и сайтов, распространяющих вредонос, а затем рассылают жертвам SMS сообщения, содержащие ссылку на злонамеренное ПО. После попадания на систему жертвы вредонос сканирует устройство и мониторит приложения, запущенные в фоновом режиме. Как только пользователь запускает приложение для работы с онлайн-банкингом, вредонос выводит свой интерфейс поверх запущенного приложения. Таким образом пользователю предлагается ввести учетные данные в форму, контролируемую злоумышленниками. Вредонос нацелен на ряд специфических приложений и активирует оверлей только после запуска последних.

Однако в мае деятельность злоумышленников не прекратилась. С февраля по июнь 2016 года исследователи обнаружили более 55 модификаций вредоноса, распространяющегося в различных странах Европы: Дания, Италия, Германия, Австрия и др. В отличии от RuMMS, текущая кампания использует не только бесплатный хостинг для размещения вредоноса. Злоумышленники регистрируют доменные имена, используют сокращенные ссылки сервиса Bit.ly и скомпрометированные сайты. В июне кроме Bit.ly в арсенале злоумышленников появились такие сервисы сокращения URL как tr.im, jar.mar и is.gd.

Эксперты FireEye обнаружили 12 C&C серверов, размещенных в 5 странах. Сервер с IP-адресом 85.93.5.109 использовался 24 вредоносными приложениями в двух кампаниях, 85.93.5.139 использовался в 8 приложениях. Кроме того, 4 C&C сервера находятся в подсети 85.93.5.0/24. Это свидетельствует о наличии контроля над сетевыми ресурсами в этом сегменте сети.

Сервисы сокращения ссылок обычно предоставляют статистику по посещаемости ссылки. Согласно этой статистике, вредоносное ПО было установлено более 161 тыс. раз.


Донбасс покажется мелким конфликтом: в России дали...

Донбасс покажется мелким конфликтом: в России дали тревожный прогноз

Российский журналист Аркадий Бабченко считает, что следующие двадцать лет будут настолько непростыми для мира, что войну на Донбассе будут считать незначительным пограничным конфликтом. Так Бабченко прокомментировал слова главы МИД Германии подробнее ...

загрузка...

 

Вверх