Информация о вредоносном программном обеспечении Android.SmsSpy.88.origin впервые появилась еще 2 года назад, но с тех пор разработчики сумели значительно усовершенствовать его.
Ранее троянская программа имела достаточно примитивный функционал, включавший возможность перехвата SMS-сообщений с одноразовыми паролями, скрытной отправки SMS и совершения голосовых звонков. Теперь программа может похитить все средства с банковских счетов своих жертв.
Как утверждают аналитики «Доктор Веб», ранние версии вредоносной программы были предназначены только для кибератак на пользователей из России и СНГ, а их распространение осуществлялось с помощью рассылки спам-писем. Новая разновидность Android.SmsSpy.88.origin имеет более расширенный функционал и предназначается для заражения Android-устройств по всему миру.
Чтобы проникнуть в устройство, троянская программа маскируется под легитимные программы, в том числе Adobe Flash Player. После того, как вредоносная программа запущена, она отправляет пользователю запрос для получения доступа с правами администратора, а затем подключается к сети и с помощью Wi-Fi или канала передачи данных мобильного оператора старается поддерживать ее в активном состоянии. В результате троянская программа имеет постоянную связь с C&C-сервером. После Android.SmsSpy.88.origin генерирует уникальный идентификатор, передающаяся наряду с другими техническими данными на сервер, находящийся под контролем киберпреступников, где осуществляется регистрация инфицированного устройства.
Основная функция Android.SmsSpy.88.origin – кража логинов и паролей от аккаунтов сервисов мобильного банкинга и хищение денежных средств с пользовательских счетов. После запуска владельцем устройства одного из банковских приложений вредоносная программа поверх его окна помещает форму для авторизации в аккаунте. После ввода пользователем своей информации она скрытно передается киберпреступникам, что дает им возможность получить полный контроль над счетами жертвы. По словам экспертов «Доктор Веб», злоумышленники, используя Android.SmsSpy.88.origin, могут осуществлять кибератаки на клиентов почти всех банков. Для этого должна быть создана новая фальшивая форма авторизации и обновлена конфигурация вредоносного программного обеспечения.
Специалисты утверждают, что от активности троянской программы пострадали пользователи в более чем 200 странах. Число зараженных устройств составило около 40000. Больше всего от действий программы пострадали турецкие, индийские, испанские, австралийские и немецкие пользователи.