Android.SmsBot.75.origin - Android-троян для кражи конфиденциальных данных


Android.SmsBot.75.origin - троянская программа, предназначенная для кражи конфиденциальных данных у южнокорейских пользователей, а также незаметной отправки СМС.

Распространяется вредонос через массовое распространение нежелательных СМС-сообщений, которые содержали ссылку на его загрузку. В спам-сообщении злоумышленники информировали своих потенциальных жертв о якобы неполученном почтовом отправлении, о статусе которого можно было узнать из предоставленной в тексте короткой ссылке. Перейдя по ней пользователь попадал на страницу мошеннического блога, размещенного на платформе Blogger от корпорации Google. При этом его оформление создавало впечатление, что ресурс принадлежит к службе курьерской почтовой доставки. При попытке ознакомиться с информацией на мобильное устройство жертвы загружался троян Android.SmsBot.75.origin, размещенный в облачном хранилище Dropbox.

Android.SmsBot.75.origin v oblachnom hranilishe Dropbox

По своим масштабам данная спам-кампания является одной из самых крупных за последнее время. Таким образом всего за несколько дней было произведено около 40 спам-рассылок, от которых могли пострадать несколько десятков тысяч владельцев мобильных Android-устройств. Также злоумышленниками было задействовано как минимум пять различных вариантов блогов с ссылками, которые вели на загрузку трех модификаций Android.SmsBot.75.origin.

Tri modifikacii Android.SmsBot.75.origin

Согласно открытой статистике, которая имеется на одной из этих страниц, число посетивших ее потенциальных жертв за несколько дней составило более 30 тысяч. А учитывая общее количество использованных мошеннических блогов, конечное число пострадавших пользователей может во много раз превышать эту цифру.

После своего запуска Android.SmsBot.75.origin обращается к сайту реально существующей почтово-транспортной компании и отображает его в качестве веб-приложения. Параллельно с этим происходит удаление значка вредоносной программы с главного экрана мобильного устройства и активизация троянского сервиса MainService, который и выполняет всю вредоносную деятельность. Так в частности, троян загружает информацию из телефонной книги на удаленный сервер, а затем ожидает от него поступления команды с параметрами для отправки СМС-сообщения (номер получателя и текст). Кроме этого, вредоносная программа создает список номеров, звонки и СМС с которых не будут видны пользователю. Таким образом, Android.SmsBot.75.origin может применяться и как шпион или СМС-троян, и как средство кражи денежных средств из систем мобильного банкинга.

Android.SmsBot.75.origin kraja deneg

Ранее Android.SmsBot.75.origin уже распространялся злоумышленниками с применением и других нежелательных СМС-рассылок, в которых он выдавался за некое уведомление, поступившее из полиции. Поэтому не исключено, что в будущем мошенники предпримут новые попытки атак на пользователей.