Троянец, крадущий СМС-сообщения

Компания «Доктор Веб» сообщила об обнаружении новой вредоносной программы для платформы Android, способной перехватывать входящие СМС-сообщения и перенаправлять их злоумышленникам. Троянец Android.Pincer.2.origin представляет серьезную опасность для пользователей: в украденных сообщениях в числе прочего могут находиться проверочные mTAN-коды, которые используются в финансовых системах типа «банк-клиент» для подтверждения денежных операций, другая конфиденциальная информация.

Обнаруженный троянец – второй известный представитель семейства Android.Pincer. Как и предшественник, эта вредоносная программа распространяется под видом сертификата безопасности, который якобы требуется установить на мобильное Android-устройство. Если пользователь выполнит установку и попытается запустить троянца, Android.Pincer.2.origin продемонстрирует ложное сообщение об успешной установке сертификата, после чего до поры до времени не будет проявлять заметной активности.

Чтобы загружаться вместе с операционной системой, троянец регистрирует системный сервис CheckCommandServices, который в дальнейшем работает в качестве фоновой службы. В случае успешного старта при очередном включении мобильного устройства Android.Pincer.2.origin подключается к удаленному серверу злоумышленников и загружает на него ряд сведений о мобильном устройстве (модель, серийный номер устройства и IMEI-идентификатор, используемый оператор связи и номер сотового телефона, язык, использующийся по умолчанию в системе, версия ОС, информация о том, имеется ли root-доступ). Далее программа ждет поступления от злоумышленников управляющего СМС-сообщения с текстом вида «command: [название команды]», содержащего указание к дальнейшим действиям. Предусмотрены следующие директивы:

• start_sms_forwarding [номер телефона] — начать перехват сообщений с указанного номера;
• stop_sms_forwarding — завершить перехват сообщений;
• send_sms [номер телефона и текст] — отправить СМС с указанными параметрами;
• simple_execute_ussd — выполнить USSD-запрос;
• stop_program — прекратить работу;
• show_message — вывести сообщение на экран мобильного устройства;
• set_urls — изменить адрес управляющего сервера;
• ping — отправить СМС с текстом pong на заранее указанный номер;
• set_sms_number — изменить номер, на который уходит сообщение с текстом pong.

Команда start_sms_forwarding представляет особенный интерес, так как позволяет указывать троянцу, сообщения с какого номера ему необходимо перехватить. Тем самым вредоносную программу можно использовать для проведения таргетированных атак, воруя специфические СМС-сообщения, например сообщения от систем «банк-клиент» либо конфиденциальные СМС, предназначенные для самых разных категорий лиц: от простых пользователей до руководителей компаний и организаций.

По данным «Доктор Веб», антивирусные продукты компании для Android успешно детектируют троянца.