Отчет о вредоносной SMS-кампании Smishing, целью которой стали пользователи Android, опубликован исследователями FireEye. Злоумышленники с февраля по май текущего года провели три фишинговые кампании против датских и итальянских пользователей.
Действия киберпреступников имеют сходство с кампанией RuMMS, целью которой являются российские пользователи. В то же время три кампании, описываемые в отчете, отличаются от RuMMS тем, что в данном случае злоумышленники применяли технику подмены экрана пользователя. Хакеры демонстрировали жертве фальшивый интерфейс банковского приложения вместо настоящего и осуществляли перехват учетной информации, необходимой для получения доступа к услугам онлайн-банкинга.
Вначале киберпреступники налаживают работу командных серверов и веб-ресурсов, занимающихся распространением вредоносной программы, а затем организуют рассылку SMS-сообщений, содержащих ссылки на вирусы. После того, как вредоносная программа проникла в систему, она осуществляет сканирование устройства и мониторинг приложений, запущенных в фоновом режиме. Если пользователь производит запуск банковского приложения, то программа поместит поверх настоящего интерфейса фальшивый, чтобы похитить учетную информацию жертвы.