17 апреля 2014 года

Компания «Доктор Веб» зафиксировала массовое распространение нежелательных СМС-сообщений, которые содержали ссылку на загрузку Android-троянца Android.SmsBot.75.origin, предназначенного для кражи конфиденциальных данных у южнокорейских пользователей, а также незаметной отправки СМС. За несколько дней злоумышленники произвели около 40 спам-рассылок, а общее число пострадавших владельцев мобильных Android-устройств может составить несколько десятков тысяч человек.

Зафиксированные специалистами компании «Доктор Веб» спам-сообщения информировали потенциальных жертв о якобы неполученном почтовом отправлении, о статусе которого можно было узнать, перейдя по предоставленной в тексте короткой ссылке. В случае перехода по указанному веб-адресу пользователь перенаправлялся на страницу мошеннического блога, размещенного на платформе Blogger от корпорации Google и оформленного так, чтобы создать ложное впечатление его принадлежности к службе курьерской почтовой доставки. При попытке ознакомиться с предлагаемой информацией на мобильное устройство жертвы загружался троянец Android.SmsBot.75.origin, размещенный в облачном хранилище Dropbox, где у киберпреступников имелась специальная учетная запись.

Таким образом, данная спам-кампания практически ничем не отличается от множества других подобных, организованных в Южной Корее, однако по своим масштабам она является одной из самых крупных за последнее время. Так, злоумышленники произвели почти 40 спам-рассылок, а также задействовали как минимум пять различных вариантов блогов, содержащих ссылки, которые вели на загрузку трех модификаций Android.SmsBot.75.origin.

В свою очередь, согласно открытой статистике, имеющейся на одной из этих страниц, число посетивших ее потенциальных жертв за несколько дней составило более 30 тысяч. Учитывая общее количество использованных мошеннических блогов, конечное число пострадавших пользователей может во много раз превышать эту цифру.

Чтобы не вызывать лишних подозрений, после своего запуска Android.SmsBot.75.origin обращается к сайту реально существующей почтово-транспортной компании и загружает его в режиме WebView, т. е. отображает в качестве веб-приложения. Одновременно с этим происходит удаление значка вредоносной программы с главного экрана мобильного устройства и активизация троянского сервиса MainService, который незаметно выполняет всю вредоносную деятельность. В частности, троянец загружает информацию из телефонной книги на удаленный сервер и затем в постоянном режиме ожидает от него поступления команды, в которой будут указаны параметры для отправки СМС-сообщения, – номер получателя и текст. Кроме того, вредоносная программа создает список номеров, звонки и СМС с которых не будут видны пользователю. Таким образом, Android.SmsBot.75.origin может быть использован не только как шпион или СМС-троянец, но и как средство кражи денежных средств из систем мобильного банкинга.

Помимо упомянутой спам-кампании, Android.SmsBot.75.origin уже распространялся злоумышленниками с применением и других нежелательных СМС-рассылок, в которых он выдавался за некое уведомление, поступившее из полиции, поэтому не исключено, что в будущем мошенники предпримут новые попытки атак на пользователей.

Все известные модификации этого бота успешно детектируются антивирусными продуктами Dr.Web для Android и не представляют угрозы для их пользователей.