Экспертами из Group-IB обнаружена «невидимая» вредоносная программа для Android-устройств, которая атакует пользователей российских банков и не фиксируется антивирусами.
Распространение троянской программы осуществляется посредством фишинговых MMS-сообщений. Пользователь получает сообщение с вредоносной ссылкой якобы от абонента из своего списка контактов. При переходе жертвы по ссылке на экране отображается сообщение о том, что пользователю отправили ммс-фотографию, просмотреть ее можно по ссылке. Кроме того, в сообщении присутствует инструкция о том, как активировать в Android процесс загрузки файлов из неизвестных источников. Когда жертва нажимает на кнопку «Посмотреть», запускает процесс загрузки вредоносного приложения SMS_S на устройство.
При установке на систему вредоносная программа отправляет запрос на права администратора и занимает место стандартного приложения для обмена SMS-сообщениями. Затем SMS_S просит у пользователя разрешения на отправку платных сообщений.
Вредоносная программа запрашивает номер SMS-банкинга жертвы, выясняет баланс счета и осуществляет перевод денег на счета, находящиеся под контролем киберпреступников. Так как приложение производит перехват входящих SMS-сообщений, в адрес жертвы не приходит каких-либо уведомлений о списании денег. Кроме того, программа может отображать фишинговые сайты, замаскированные под страницы авторизации легитимных банковских приложений. После ввода жертвой своих данных эти сведения передаются непосредственно мошенникам. Иногда SMS_S может блокировать инфицированное устройство.
