Firma Doctor Web wykryła nowy rodzaj złośliwego oprogramowania dla platformy Android
Zadaniem trojana Android.Pincer.2.origin jest przechwycenie przychodzących wiadomości SMS i przesłanie ich do cyberprzestępców.
Rosyjska firma antywirusowa Doctor Web ostrzega przed nowym rodzajem złośliwego oprogramowania, które stanowi duże zagrożenie dla bezpieczeństwa systemu Android.
Wszystkiemu winny jest trojan o nazwie Android.Pincer.2.origin, który ma za zadanie przechwycenie przychodzących wiadomości SMS i przesłanie ich do cyberprzestępców. Wirus ten stanowi poważne zagrożenie dla użytkowników, ponieważ kradzione wiadomości mogą mieć charakter całkowicie poufny i zawierać kody zatwierdzające transakcje w systemach bankowości elektronicznej.
Trojan rozprzestrzenia się pod postacią certyfikatu bezpieczeństwa, który rzekomo powinien zostać zainstalowany na urządzeniu mobilnym z systemem Android. Jeśli nieostrożny użytkownik wyrazi zgodę na taką instalację, Android.Pincer.2.origin wyświetli fałszywy raport o pomyślnym zainstalowaniu certyfikatu, a następnie przez pewien czas nie wykaże żadnej znaczącej aktywności.
Aby móc uruchomić się automatycznie razem z systemem operacyjnym, trojan rejestruje na zainfekowanym urządzeniu proces systemowy o nazwie CheckCommandServices, który od następnego uruchomienia smartfona będzie działał jako usługa w tle. Po pomyślnym uruchomieniu się powyższego procesu, Android.Pincer.2.origin łączy się ze zdalnym serwerem i może przesłać do niego takie dane, jak np. numer i model telefonu, numer seryjny i IMEI urządzenia, nazwę operatora, język używany domyślnie w systemie czy wersję systemu operacyjnego.
Następnie szkodliwe oprogramowanie czeka na instrukcje od cyberprzestępców. Mogą one dotyczyć zarówno przechwytywania wiadomości SMS użytkownika, jak również wyświetlania komunikatów na ekranie jego urządzenia. Szczególnym poleceniem dla atakujących jest tu komenda umożliwiająca wskazanie trojanowi numeru telefonu nadawcy, którego wiadomości mają być przechwytywane. Funkcja ta umożliwia wykorzystanie złośliwego oprogramowania jako narzędzia do przeprowadzania ukierunkowanych ataków i kradzieży konkretnych wiadomości SMS, w tym wiadomości z systemów bankowości elektronicznej, zawierających kody mTAN zatwierdzające transakcje bankowe lub inne poufne dane.
Sygnatura nowego trojana została już dodana do antywirusowych baz danych Dr.Web.
Źródło: Doctor Web, tech2blog
Komentarze
1