Android.Tempur.1.origin нацелен на Южнокорейских пользователей Android


Android.Tempur.1.origin - вредоносная программа, основной целью которой является кража конфиденциальных сведений Южнокорейских пользователей Android. Троян также способен похищать:

  • банковские реквизиты;
  • информацию о входящих СМС-сообщениях;
  • информацию о совершаемых телефонных звонках;
  • способен выполнять отправку коротких сообщений, в том числе и на премиум-номера.


В зависимости от модификации Android.Tempur.1.origin собираемая им информация может включать:

  • имя пользователя и его персональный идентификатор;
  • номер социальной страховки;
  • пароль от учетной записи;
  • номер банковского счета;
  • номер сотового телефона и пр.


Один из известных способов распространения данного трояна - применение злоумышленниками специальной вредоносной программы, содержащей несколько различных вариантов Android.Tempur.1.origin, каждый из которых имитировал внешний вид официального клиентского приложения того или иного южнокорейского банка. Ссылка на загрузку соответствующего apk-пакета "дроппера" предоставлялась пользователям в мошеннических СМС-сообщениях и вела на домен

  • cect[xxx].com

Tempur 1 Tempur 2

Особенность этой вредоносной программы-носителя с именем Android.MulDrop.8.origin, в том, что перед установкой определенной модификации Android.Tempur.1.origin она выполняет поиск уже имеющихся на мобильном устройстве легитимных версий банковского ПО, и в случае обнаружения последних пытается выполнить их деинсталляцию. При наличии на мобильном устройстве root-доступа, "дроппер" при помощи специальной команды изменяет атрибуты найденных приложений и выполняет их удаление без вмешательства пользователя. В противном случае удаление происходит по стандартной процедуре с демонстрацией соответствующего диалогового окна. После удаления настоящих банковских приложений троян-носитель пытается установить их поддельные копии.

В случае успешного запуска известные варианты Android.Tempur.1.origin демонстрируют интерфейс, приближенный к внешнему виду официальных банковских приложений, а также обманным путем заставляют пользователей ввести свои аутентификационные или персональные сведения. Полученная таким образом информация затем пересылается киберпреступникам.

Другая опасная функция, которой обладает Android.Tempur.1.origin - возможность перехватывать входящие СМС-сообщения, информация о которых также передается на сервер злоумышленников. Данный функционал может быть использован для кражи одноразовых mTAN-кодов, применяемых в системах "банк-клиент", а также для перехвата не менее ценных сообщений из личной переписки.

Еще вредоносная программа способна отслеживать совершаемые телефонные звонки и может выполнить отправку СМС-сообщений на премиум-номера, для чего получает соответствующие параметры с сервера мошенников.

Tempur 3

При исследовании данной угрозы удалось обнаружить новую модификацию Android.Tempur.1.origin, которая обладает тем же функционалом, что и остальные версии трояна. Однако в данном случае претерпел изменение способ распространения вредоносной программы. Теперь соответствующий троянский apk-файл загружается непосредственно с удаленного сервера злоумышленников, а вспомогательный "дроппер" уже не используется. Отличен и адрес веб-сервера киберпреступников, откуда происходит загрузка Android.Tempur.1.origin:

  • korea[xxxx].com

Tempur 4

Данный троян представляет весьма серьезную угрозу, поскольку позволяет злоумышленникам завладеть строго конфиденциальными данными пользователей, в частности их финансовыми реквизитами, что в дальнейшем может быть использовано для шантажа, вымогательства и непосредственной кражи денежных средств. Иные конфиденциальные сведения, такие как информация о входящих СМС-сообщениях и звонках, также могут быть применены в разного рода мошеннических схемах.