Модифицированный Android-троян SmsSpy крадет деньги со счетов клиентов банков по всему миру
О вредоносной программе Android.SmsSpy.88.origin стало известно еще два года назад, однако за это время вирусописатели значительно усовершенствовали ее функционал. Если раньше троян обладал довольно примитивными возможностями, такими как перехват SMS-сообщений с одноразовыми банковскими паролями, незаметная отправка SMS и совершение голосовых звонков, то сейчас вредонос способен похищать все деньги с банковских счетов своих жертв.
По словам аналитиков компании «Доктор Веб», ранние модификации вредоносного ПО были нацелены только на пользователей из РФ и ряда стран СНГ и распространялись в спам-рассылках. Новая версия SmsSpy отличается более расширенной функциональностью и предназначена для инфицирования Android-устройств по всему миру.
Также, как и его предшественники, троян попадает на устройство под видом легитимных программ, например, Adobe Flash Player. После запуска вредонос запрашивает у пользователя доступ с правами администратора, а затем подключается к сети и поддерживает ее в активном состоянии, используя Wi-Fi или канал передачи данных мобильного оператора. Таким образом троян обеспечивает постоянную связь с C&C-сервером. На следующем этапе вредонос формирует уникальный идентификатор, который вместе с другой технической информацией передается на сервер преступников, где происходит регистрация зараженного устройства.
Основной функцией SmsSpy является хищение логинов и паролей от учетных записей мобильного банкинга, а также средств со счетов пользователей. После того, как владелец гаджета запускает одно из банковских приложений, используя компонент WebView вредонос отображает поверх его окна форму для авторизации в учетной записи. Как только пользователь вводит свой логин и пароль, информация незаметно передается злоумышленникам, благодаря чему они получают полный контроль над счетами жертвы. Как отмечают эксперты «Доктор Веб», с помощью трояна киберпреступники могут атаковать клиентов практически любого банка. Для этого им потребуется создать новую фальшивую форму авторизации и обновить конфигурацию вредоносной программы.
По данным специалистов, жертвами трояна уже стали пользователи в более 200 странах, а количество инфицированных устройств достигло порядка 40 тыс. Наибольшее количество случаев заражения было зафиксировано в Турции (18,29%). Далее следуют Индия (8,81%), Испания (6,90%), Австралия (6,87%) и Германия (5,77%).