Android-ботнет маскируется под приложение от Google для хищения SMS-сообщений

Компания FireEye, занимающаяся вопросами безопасности,  заявила , что за недавно обнаруженным вредоносным ПО для платформы Android, маскирующимся под Google-приложение, стоят киберпреступники из Китая. По словам экспертов, данное вредоносное ПО использовалось по крайней мере в 64 кампаниях, нацеленных на пользователей преимущественно из Южной Кореи.

Вредонос MisoSMS, разработанный для хищения сообщений, распространяется через фишинговые SMS, содержащие вредоносную ссылку. Пройдя по ней, пользователь попадает в online-магазин, где ему предлагают загрузить якобы приложение для настроек Android - «Google Vx», которое на самом деле не имеет никакого отношения к американской технологической компании. Установившись на устройство жертвы, оно копирует SMS-сообщения пользователя и отправляет их злоумышленникам посредством электронной почты.

После инсталляции «Google Vx» запрашивает права администратора на устройстве и маскирует себя на время соединения с инфраструктурой ботнета, основывающегося на 450 учетных записях в сервисах электронной почты, связанных с приложением. Для отправки данных злоумышленникам вредоносное ПО использует электронную почту, а не SMS-сообщения.

По данным исследователей из FireEye, для того, чтобы читать похищенные сообщения, злоумышленники авторизуются преимущественно в Южной Корее и Китае. В настоящее время эксперты работают над тем, чтобы вывести из строя C&C-инфраструктуру.