Специалистами из Zscaler - компании, работающей в сфере информационных технологий – была обнаружена новая троянская программа для Android-устройств, которая распространяется под видом документа Microsoft Word. Исследователями зафиксировано несколько сотен заражений. В большинстве случаев жертвами становились китайские пользователи.
Вредоносная программа замаскирована под файл с иконкой, которая похожа на используемую в Microsoft Word. Троянская программа функционирует с повышенными привилегиями, что делает ее деинсталляцию непростым делом. Вредоносная программа осуществляет сканирование на наличие SMS-сообщений и другой идентификационной информации, включая ID устройства, номер SIM-карты, номер IMEI и контактные данные жертвы. Все сведения, которые были получены программой, пересылаются на C&C-сервер, находящийся под контролем киберпреступников, в виде текстовых сообщений или по электронной почте.
После попытки запуска приложения на экране появляется сообщение об ошибке, предупреждающее о несовместимости данного программного обеспечения с устройством, а иконка программы исчезает. Во время показа сообщения программой выполняется ряд действий, включая отправку SMS-сообщения и звонки на номера, обозначенные хакерами, запуск службы MyService и потоков MailTask и SMSTask, функционирующих в фоновом режиме.
По словам Шиванга Десаи, эксперта из Zscaler, разработчиками троянской программы были реализованы функции, которые позволяют отправлять телефонные номера в виде SMS. Вредоносная программа осуществляет перехват таких сообщений и звонит по указанному номеру. Вероятно, речь в данном случае идет о премиум-сервисе, а оператор троянской программы получает вознаграждение за звонки. Специалистом также отмечается исходящая от вредоносной программы угроза конфиденциальности, поскольку в SMS может содержаться не только частная переписка жертвы, но и банковские коды и коды подтверждения для других онлайн-сервисов.
Киберкампания была зафиксирована 10 октября текущего года. Специалисты Zscaler получили доступ к панели управления, которая содержит списки украденных данных. За неполный месяц количество пострадавших в результате действий злоумышленников превысило 300 пользователей.