Новая фишинговая кампания направлена на пользователей Android


FireEyeКомпанией FireEye был опубликован отчет по вредоносной SMS-кампании Smishing, направленной на пользователей Android. Всего в период с февраля по май 2016 года злоумышленники осуществили 3 фишинговые кампании на пользователей в Дании и Италии.

Действия злоумышленников схожи с вредоносной кампанией RuMMS, которая была нацелена на российский сегмент. Отличие лишь в том, что в описываемых 3 кампаниях применялась техника подмены экрана пользователя. Злоумышленники отображали пользователю поддельный интерфейс банковского приложения вместо настоящего и перехватывали учетные данные для доступа к онлайн-банкингу.

Алгоритм действий злоумышленников
Algoritm deistviy zloumishlennikov

Они изначально организовывали работу C&C серверов и сайтов, распространяющих вредонос, и лишь после этого рассылали жертвам SMS сообщения с ссылкой на вредоносное ПО.

Попав на систему жертвы, зловред сканирует устройство и мониторит приложения, запущенные в фоновом режиме. После запуска пользователем приложения для работы с онлайн-банкингом, вредонос выводит свой интерфейс поверх запущенного приложения. Таким образом, пользователь вводит учетные данные в форму, контролируемую злоумышленниками. Зловред нацелен на ряд специфических приложений и активирует оверлей только после запуска последних.

Всего с февраля по июнь 2016 года исследователи обнаружили более 55 модификаций данного вредоноса, который распространялся в различных странах Европы:

  • Дания;
  • Италия;
  • Германия;
  • Австрия и др.


Злоумышленники использует для размещения вредоноса не только бесплатный хостинг, но и регистрируют доменные имена, используют сокращенные ссылки сервиса Bit.ly и скомпрометированные сайты. В июне кроме Bit.ly в арсенале злоумышленников появились такие сервисы сокращения URL как:

  • tr.im;
  • jar.mar;
  • is.gd.


Эксперты обнаружили 12 C&C-серверов, размещенных в 5 странах. Установлено, что сервер с IP-адресом:

  • 85.93.5.109 - использовался 24 вредоносными приложениями в двух кампаниях;
  • 85.93.5.139 - использовался в 8 приложениях.


4 C&C-сервера находятся в подсети 85.93.5.0/24, что свидетельствует о наличии контроля над сетевыми ресурсами в этом сегменте сети.

Согласно статистике сервисов сокращения ссылок, вредоносное ПО было установлено более 161 тыс. раз.


Обновлено (29.06.2016 19:53)