Эксперты антивирусной компании « Доктор Веб » сообщили о новой атаке, которой подверглись пользователи Android. Используя имя и популярность сервиса бесплатных объявлений Avito.ru злоумышленники организовали рассылку SMS-спама, при помощи которой распространяют Android-троянец.
В полученном пользователями SMS, якобы отправленном популярной службой бесплатных объявлений Avito.ru, сообщается о появившемся отклике на размещенное ранее объявление, а также находится ссылка, по которой требуется перейти для ознакомления с ним. Таким образом, целевой аудиторией данной атаки в большей степени являлись настоящие клиенты сервиса, в действительности ожидавшие ответа на свое объявление. Однако после перехода по указанному адресу вместо предполагаемой веб-страницы пользователи попадают на мошеннический сайт, с которого происходит загрузка троянца Android.SmsSpy.88.origin, представляющего собой SMS-бота.
После установки и запуска Android.SmsSpy.88.origin запрашивает у пользователя доступ к функциям администратора мобильного устройства, после чего удаляет значок с главного экрана операционной системы. Далее при помощи SMS-сообщения троянец передает злоумышленникам ряд общих данных о зараженном мобильном устройстве: его название и производителя, IMEI-идентификатор, сведения об операторе, а также об используемой версии операционной системы. Затем вредоносная программа соединяется с удаленным сервером и ждет от него поступления команд, среди которых могут быть указания на запуск или остановку сервиса по перехвату входящих SMS, отправку коротких сообщений с заданным текстом на указанный номер, осуществление вызовов, а также рассылку SMS по всем имеющимся в телефонной книге контактам.
Кроме того, злоумышленники могут управлять троянцем и при помощи SMS-сообщений. В таком виде Android.SmsSpy.88.origin способен принимать команды на отправку SMS с заданными параметрами, а также на включение или отключение безусловной переадресации для всех входящих телефонных звонков.
Таким образом, обладая весьма типичным функционалом по рассылке SMS-сообщений, троянец выделяется способностью выполнить переадресацию вызовов на заданный злоумышленниками номер, что фактически позволяет им установить контроль над всеми поступающими звонками. На практике это дает киберпреступникам возможность не только получить доступ к различной конфиденциальной информации, но также в некоторых случаях осуществить целый ряд мошеннических действий.
С момента внесения данных угроз в вирусную базу компании антивирусные продукты Dr.Web для Android обнаружили их уже у более чем 2 300 пользователей.