Android-малварь ворует банковские учетные данные и использует приложение TeamViewer

Специалисты Trend Micro сообщили о вредоносной деятельности вируса SmsSecurity, который выдает себя за инструмент для быстрой генерации одноразовых паролей. Однако вместо этого утилита похищает информацию из банковских клиентов, а также использует функционал TeamViewer QuickSupport для взлома устройства пользователя.

Эксперты пишут, что SmsSecurity основан на приложении ANDROIDOS_FAKEBANK.OPSA, которое уже более двух лет используется злоумышленниками в рамках масштабной кампании Operation Emmental. В 2016 году операторы вредоносной программы проявили активность в январе – тогда вредоносный модуль также был замаскирован под обычный генератор одноразовых паролей. Затем активность была зафиксирована в мае. На этот раз схема была более хитрой: утилита научилась блокировать устройство потенциальной жертвы перед кражей денежных средств со счета.

Анализ последней версии ANDROIDOS_FAKEBANK.OPSA показал, что злоумышленники вернулись к схеме, которая была использована в январе 2016 года: вирус просто маскируется под генератор паролей, скрытно похищая учетные данные. Также появились защитные механизмы: перед началом вредоносной активности программа проверяет файл Build.prop, чтобы убедиться, что запуск не произведен в виртуальной среде.

В отличие от другого вредоносного приложения, SmsSecurity не использует навязчивые просьбы предоставить root-права. Используется более хитрая схема – вирус просит пользователя активировать специальные возможности Android, что позволяет симулировать действия пользователя и самостоятельно повысить привилегии. Впервые о таком алгоритме взлома написали исследователи Symantec весной 2016 года, которые также спрогнозировали, что злоумышленники в ближайшее время начнут его использовать.

Как уже упоминалось, SmsSecurity не ограничивается кражей учетных данных. Приложение также загружает и инсталлирует на устройство программу TeamViewer QuickSupport. Права администратора позволяют вредоносной программе инициировать запуск сессии TeamViewer и передать на управляющий сервер локальный ID. Это позволяет злоумышленникам напрямую подключиться к атакованному устройству.

 

1 star2 star3 star4 star5 star (1 голос, среднее: 5,00 из 5)
Загрузка...
Android
Комментировать!

Автор: Вячеслав Семенов

Вячеслав Семенов
Мы носим одежду, которую сшили другие люди. Мы говорим на языках, которые были придуманы другими людьми. Мы едим пищу, которую научились выращивать другие люди. Теперь пришло время и нам стать полезными человечеству.