Dr. Web: Android-троян похищает SMS-сообщения

Эксперты по безопасности компании Dr. Web обнаружили новую вредоносную программу для платформы Android, способную перехватывать входящие SMS-сообщения и перенаправлять их злоумышленникам.

Данный вирус является вторым известным представителем семейства Android.Pincer – обновленное вредоносное ПО распространяется под видом сертификата безопасности, который якобы требуется установить на мобильное Android-устройство.

В случае инсталяции вредоносной программы, Android.Pincer.2.origin отобразит ложное сообщение об успешной установке сертификата, после чего некоторое время будет неактивным.

Для того чтобы загружаться с ОС, вирус регистрирует CheckCommandServices - системный сервис, который в дальнейшем работает в качестве фоновой службы.

После удачного включения зараженного мобильного устройства вирус подключается к удаленному серверу злоумышленников и загружает на него ряд сведений о мобильном устройстве, среди которых название модели, серийный номер устройства, IMEI-идентификатор, название используемого оператора связи, номер сотового телефона, язык, использующийся по умолчанию в системе и пр.

Для того чтобы совершить какие-либо действия, программа ожидает SMS-сообщения с текстом «command: [название команды]». В сообщении уже содержатся соответствующие указания. В Dr. Web утверждают, что злоумышленники предусмотрели следующие директивы:

start_sms_forwarding [номер телефона] — начать перехват сообщений с указанного номера;

stop_sms_forwarding — завершить перехват сообщений;

send_sms [номер телефона и текст] — отправить СМС с указанными параметрами;

simple_execute_ussd — выполнить USSD-запрос;

stop_program — прекратить работу;

show_message — вывести сообщение на экран мобильного устройства;

set_urls — изменить адрес управляющего сервера;

ping — отправить СМС с текстом pong на заранее указанный номер;

set_sms_number — изменить номер, на который уходит сообщение с текстом pong.