Эксперты «Доктор Веб» обнаружили опасный Android-троянец, рассылаемый от имени сервиса Avito.ru

Эксперты антивирусной компании «Доктор Веб» сообщили о новой атаке, которой подверглись пользователи Android. Используя имя и популярность сервиса бесплатных объявлений Avito.ru, злоумышленники организовали рассылку SMS-спама, при помощи которой распространяют Android-троянец.

Android-sms-1

В полученном пользователями SMS, якобы отправленном популярной службой бесплатных объявлений Avito.ru, сообщается о появившемся отклике на размещенное ранее объявление, а также находится ссылка, по которой требуется перейти для ознакомления с ним. Таким образом, целевой аудиторией данной атаки в большей степени являлись настоящие клиенты сервиса, в действительности ожидавшие ответа на свое объявление. Однако после перехода по указанному адресу вместо предполагаемой веб-страницы пользователи попадают на мошеннический сайт, с которого происходит загрузка троянца Android.SmsSpy.88.origin, представляющего собой SMS-бот.

После установки и запуска Android.SmsSpy.88.origin запрашивает у пользователя доступ к функциям администратора мобильного устройства, после чего удаляет значок с главного экрана операционной системы. Далее при помощи SMS-сообщения троянец передает злоумышленникам ряд общих данных о зараженном мобильном устройстве: его название и производителя, IMEI-идентификатор, сведения об операторе, а также об используемой версии операционной системы. Затем вредоносная программа соединяется с удаленным сервером и ждет от него поступления команд, среди которых могут быть указания на запуск или остановку сервиса по перехвату входящих SMS, отправку коротких сообщений с заданным текстом на указанный номер, осуществление вызовов, а также рассылку SMS по всем имеющимся в телефонной книге контактам.

Android-sms-2

Кроме того, злоумышленники могут управлять троянцем и при помощи SMS-сообщений. В таком виде Android.SmsSpy.88.origin способен принимать команды на отправку SMS с заданными параметрами, а также на включение или отключение безусловной переадресации для всех входящих телефонных звонков.

Таким образом, обладая весьма типичным функционалом по рассылке SMS-сообщений, троянец выделяется способностью выполнить переадресацию вызовов на заданный злоумышленниками номер, что фактически позволяет им установить контроль над всеми поступающими звонками. На практике это дает киберпреступникам возможность не только получить доступ к различной конфиденциальной информации, но также в некоторых случаях осуществить целый ряд мошеннических действий.

С момента внесения данных угроз в вирусную базу компании антивирусные продукты Dr.Web для Android обнаружили их уже у более чем 2 300 пользователей.

Источник: MacDigger.ru


15 комментариев

  • ключевая фраза во всех новостях про вирусы - это "запрашивает у пользователя доступ к функциям администратора мобильного устройства". если сам пользователь дает приложению полный доступ, то его не спасет ничего. помню при первых опытах знакомства с red hat linux при попытке запуска IRC из под учетки админа выдавалось сообщение на англицком примерно как "надо быть полным идиотом, чтобы запускать irc из под админа". за годы использования windows/osx/android/ios не словил ни одного вируса. единственный раз, когда крупно лоханулся - это засветил номер в инфо-киоске, с которого бабки на телефон закидывал. оказалось, что нажимая далее я согласился на рассылку смс информационно-рекламного характера. там повалили такие тонны **на спамерского, что номер в итоге закрыл просто и переоформил новый. но опять таки - сам дурак )))
    • да, кстати, вдогонку: сам получил смс с этой рассылкой. но для интернет-торговли у меня используется старый старый номер, воткнутый в примитивнейшую мобилку, где вообще весь функционал заканчивается на звонках, смс и фонарике ))) заглянул на сайт авито, посмотрел что сообщений нет и спокойно смску удалил. учитывая, что у них есть и официальное приложение, и что адрес в смс крайне странный, и что наконец на самом сайте есть большой такой раздел с инструкциями, как распознать злоумышленников - то тут уже реально 100% пострадавшие попадают в категорию "сам виноват"
  • Только я заметил, что в заголовке "avito.ru", а в смс "avito....com"?
  • Если я все правильно понял, то сначала пользователь получает с левого номера смс. В смс ссылка на левый сайт, который выглядит как avito-nytyiloh.ru. После чего надо перейти и загрузить какое-то приложение. Android не даст вам его установить, поэтому надо будет идти в настройки и включить возможность установки приложений с неизвестных источников. После надо опять найти у себя установочный файл этого приложение и установить его. Но оно не сможет выполнять свои действия. Для этого надо опять в настройках разрешать ему выполнение административных функций. И после всего этого можно плакаться на то какой Android плохой, раз там так легко подхватить вирусы о_О
  • от дурака не защитит никакая система. сперва вы должны перейти на левый сайт, загрузить оттуда левое ПО, согласиться на установку ПО из недостоверного источника, согласиться предоставить доступ к функциям телефона и после этого его запустить. Это из той же серии, что анекдот про раздевалку в женской бане "Жалуется мужик, что из окна его квартиры видна женская раздевалка бани и что это его отвлекает и мешает нормально жить и работать. Приезжает комиссия, смотрит в окно, ничего не видно. Она обращается к мужику: Ничего же не видно! А вы на шкаф залезьте! "
    • Расскажите, как это сделать на иОС? Я "дурак", есть iOS устройство, каковы мои дальнейшие действия?
      • Вот ты сам и ответил, на свой вопрос
      • Просто сделайте джейл и ждите, вот например вирус Unflod Baby Panda сам вас найдет. И будет в дальшейнем воровать ваши пароли к различным онлайн сервисам. И возможно устанавливать вам еще троянчиков для выполнения других нужд. И в отличии от трояна из статьи, чтобы подхватить Unflod Baby Panda вам нужно сделать меньше телодвижений.
        • На iOS 7.1+ джейл не сделаешь, да и дурак джейл сделать не сможет. :з
          • В смысле? А вы джейл то делали? Там ничего сложного. В инете полно инструкций. Тем более тут, разговор о том, как своими же руками в обход защиты системы установить,заметьте не подхватить, а именно установить, причем долго устанавливать, вирус на смартфон с Android. Предыдущий комментатор спрашивал, как своими же действиями можно так же поставить вирус и на iOS. Вот вариант выше. И он не только рабочий, его уже опробывало на себе большое количество iOS пользователей. Которые кстати наивно верят, что на iOS нет вирусов.
            • Какие инструкции, джейл сделать проще чем айтунс установить... Скачал и кнопку нажал
            • Сравнивайте тогда джейл с рутом, а не с разрешением устанавливать сторонние приложения. Которое включено, наверное, у 80% пользователей ведра из за любви к халяве. Не все процессоры и не все иОС доступны для джейла. Привязанный ниев счет. Так что слив не засчитан.
  • Да и прежде всего, не мешало бы знать, что никаких откликов с авито не приходит никогда через смс. Связь либо почта, либо телефон. Ну или смс непосредственно от человека, заинтересовавшимся вашим объявлением.
  • Интересно, как мошенники взяли список телефонов для массовой рассылки SMS всем клиентам AVITO? Видимо, авито хакнули и забрали у них базу данных телефонов из всех объявлений. Или была утечка базы данных телефонов из авито...
  • Интересно, как мошенники взяли список телефонов для массовой рассылки SMS всем клиентам AVITO?