Специалистами компании «Доктор Веб» была обнаружена троянская программа типа Android.SmsBot, которая способна, не привлекая внимания пользователей смартфонов и планшетов, пересылать SMS на дорогостоящие премиум-номера и тем самым опустошать счета пользователей Android. Эксперты дали вредоносной программе название Android.SmsBot.459.origin.
Распространение троянской программы происходит путем рассылки SMS-спама. Потенциальная жертва получает сообщение якобы от имени заинтересованного покупателя, который откликнулся на объявление о продаже какого-либо товара, размещенное ранее. Пользователю предлагают зайти на некую веб-страницу для того, чтобы получить более подробную информацию. Иногда, чтобы войти в доверие, злоумышленники обращаются к жертве по имени, что свидетельствует о том, что атака была хорошо спланирована, а преступники пользовались специально сформированной базой реально существующих объявлений. Когда пользователь пройдет по ссылке, указанной в сообщении, на его устройство будет загружен apk-файл троянской программы.
Вредоносная программа замаскирована под клиентское приложение популярной службы по размещению объявлений и имеет соответствующий значок. Программа сразу после запуска стремится заполучить доступ к функциям администратора мобильного устройства, что в будущем должно затруднить попытки ее удаления. Чтобы заставить жертву предоставить нужные права, вредоносная программа мешает нормальной работе с Android-устройством путем блокировки экрана постоянно демонстрируемым запросом.
После того, троянская программа отправляет на управляющий сервер информацию об инфицированном устройстве, в том числе сведения об операторе и IMEI-идентификатор. Далее программа проверяет, подключена ли к телефонному номеру жертвы услуга мобильного банка нескольких кредитных организаций, и выполняет запросы текущего баланса счета абонента и баланса аккаунта одной из популярных платежных систем.
Троянская программа может осуществлять перехват SMS-сообщений, рассылку SMS c заданным текстом на указанные номера, а также выполнять USSD-запросы. Если на каком-либо из счетов, имеющихся пользователя, есть деньги, то преступники незаметно похищают их, передав соответствующее указание вредоносному приложению.