Пользователей российских банков атакует троян-невидимка для Android
06.07.2017
Эксперты компании Group-IB предупредили о "невидимом" вредоносном ПО для Android-устройств, атакующем пользователей российских банков. Примечательно, вредонос не детектируется антивирусными решениями.
Троян распространяется с помощью фишинговых MMS-сообщений. Жертва получает якобы от кого-то из своего списка контактов сообщение, содержащее вредоносную ссылку. Когда пользователь нажимает на нее, появляется уведомление следующего содержания: "Уважаемый пользователь, вам пришла ммс-фотография. Посмотреть вы ее можете по ссылке ниже". Также предоставляется инструкция, как разрешить Android загрузку файлов из неизвестных источников. После нажатия на кнопку "Посмотреть" на устройство жертвы загружается вредоносное приложение SMS_S.
Установившись на системе, вредонос запрашивает права администратора и заменяет собой стандартное приложение для обмена SMS-сообщениями. Далее SMS_S запрашивает разрешение на отправку платных сообщений.
Вредоносное ПО делает запрос на номер SMS-банкинга пользователя, узнает баланс счета и переводит средства на подконтрольные мошенникам счета. Поскольку вредонос перехватывает входящие SMS-сообщения, жертва не получает никаких уведомлений о списании средств. Приложение также способно отображать фишинговые страницы, копирующие страницы авторизации легитимных банковских программ. Когда жертва вводит свои данные, они напрямую передаются киберпреступникам. В некоторых случаях SMS_S блокирует зараженное устройство.
