Android.Pincer.2.origin - новый троян, ворующий СМС-сообщения


Android.Pincer.2.origin - новая вредоносная программа для Android-устройств, способная перехватывать входящие СМС-сообщения и перенаправлять их злоумышленникам.

Троян Android.Pincer.2.origin - второй из известных представителей семейства Android.Pincer. Эта вредоносная программа распространяется под видом сертификата безопасности для Android-устройств. И если неосторожный пользователь выполнит установку и запустит трояна, то Android.Pincer.2.origin продемонстрирует ложное сообщение об успешной установке сертификата. Далее, до поры до времени, троян не будет проявлять практически никакой заметной активности.

Android.Pincer.2.origin 1 Android.Pincer.2.origin 2

Для своей загрузки вместе с операционной системой, троян регистрирует системный сервис CheckCommandServices, который в дальнейшем работает в качестве фоновой службы.

CheckCommandServices

После включения мобильного устройства, Android.Pincer.2.origin подключается к удаленному серверу злоумышленников и загружает на него ряд сведений о мобильном устройстве. Например:

  • название модели;
  • серийный номер устройства;
  • IMEI-идентификатор;
  • название используемого оператора связи;
  • номер сотового телефона;
  • язык операционной системы;
  • версия операционной системы;
  • информация о наличии root-доступа.


Отправив данные телефона, вредоносная программа ожидает поступления от злоумышленников управляющего СМС-сообщения с текстом вида "command: [название команды]", содержащего указание к дальнейшим действиям. Киберпреступниками предусмотрены следующие директивы:

  • start_sms_forwarding [номер телефона] — начать перехват сообщений с указанного номера;
  • stop_sms_forwarding — завершить перехват сообщений;
  • send_sms [номер телефона и текст] — отправить СМС с указанными параметрами;
  • simple_execute_ussd — выполнить USSD-запрос;
  • stop_program — прекратить работу;
  • show_message — вывести сообщение на экран мобильного устройства;
  • set_urls — изменить адрес управляющего сервера;
  • ping — отправить СМС с текстом pong на заранее указанный номер;
  • set_sms_number — изменить номер, на который уходит сообщение с текстом pong.

Особый интерес представляет команда start_sms_forwarding, т. к. она позволяет злоумышленникам указывать трояну, сообщения с какого номера ему необходимо перехватить. С помощью данной функции можно использовать вредоносную программу с целью проведения таргетированных атак и кражи специфических СМС-сообщений, таких как сообщения от систем "Банк-Клиент". Имеется ввиду сообщения, содержащие проверочные mTAN-коды, либо конфиденциальные СМС, которые предназначаются для самых разных категорий лиц: от простых пользователей до руководителей компаний и государственных структур.