Android-малварь ворует банковские учетные данные и использует приложение TeamViewer

Специалисты Trend Micro сообщили о вредоносной деятельности вируса SmsSecurity, который выдает себя за инструмент для быстрой генерации одноразовых паролей. Однако вместо этого утилита похищает информацию из банковских клиентов, а также использует функционал TeamViewer QuickSupport для взлома устройства пользователя.

Эксперты пишут, что SmsSecurity основан на приложении ANDROIDOS_FAKEBANK.OPSA, которое уже более двух лет используется злоумышленниками в рамках масштабной кампании Operation Emmental. В 2016 году операторы вредоносной программы проявили активность в январе – тогда вредоносный модуль также был замаскирован под обычный генератор одноразовых паролей. Затем активность была зафиксирована в мае. На этот раз схема была более хитрой: утилита научилась блокировать устройство потенциальной жертвы перед кражей денежных средств со счета.

Анализ последней версии ANDROIDOS_FAKEBANK.OPSA показал, что злоумышленники вернулись к схеме, которая была использована в январе 2016 года: вирус просто маскируется под генератор паролей, скрытно похищая учетные данные. Также появились защитные механизмы: перед началом вредоносной активности программа проверяет файл Build.prop, чтобы убедиться, что запуск не произведен в виртуальной среде.

В отличие от другого вредоносного приложения, SmsSecurity не использует навязчивые просьбы предоставить root-права. Используется более хитрая схема – вирус просит пользователя активировать специальные возможности Android, что позволяет симулировать действия пользователя и самостоятельно повысить привилегии. Впервые о таком алгоритме взлома написали исследователи Symantec весной 2016 года, которые также спрогнозировали, что злоумышленники в ближайшее время начнут его использовать.

Как уже упоминалось, SmsSecurity не ограничивается кражей учетных данных. Приложение также загружает и инсталлирует на устройство программу TeamViewer QuickSupport. Права администратора позволяют вредоносной программе инициировать запуск сессии TeamViewer и передать на управляющий сервер локальный ID. Это позволяет злоумышленникам напрямую подключиться к атакованному устройству.

 

1 star2 star3 star4 star5 star (1 голос, среднее: 5,00 из 5)
Загрузка...
Android
Комментировать!

Вам понравится

Android уведомит о входе в аккаунт Google с новых устройств... Google запустил новую функцию для владельцев устройств на базе Android – оповещения о входе в аккаунт с новых устройств. Нововведение призвано усилить безопасность пользователей. ...
I/O 2015: что ждет Android? Продолжаем собирать в одном месте все утечки в преддверии Google I/O 2015. В этой статье давайте поговорим об экосистеме Android.I/O15Пожалуй самым главным событием на I...