31 июля 2013 г., 19:25
«Лаборатория Касперского» сообщает в корпоративном блоге, что в середине июля ее специалистами был обнаружен вредоносный объект, получивший название Trojan-SMS.AndroidOS.Svpeng.a. Задачей этого троянца является выполнение команд, поступающих с командного сервера. Такой подход характерен для большинства вредоносных программ класса Trojan-SMS, поскольку обеспечивает более гибкую реакцию владельца троянца на изменение окружающих условий: сотового оператора, баланса счета, времени суток.
Однако, в отличие от своих собратьев, новый SMS-троянец, предоставляет своим хозяевам возможность хищения денег не с мобильного, а с банковского счета жертвы. Попав на мобильное устройство, Trojan-SMS.AndroidOS.Svpeng.a никак не проявляет себя, пока не получит какую-либо команду от своих хозяев. Для общения с удаленным C&C сервером и получения команд троянец использует POST запросы.
В ходе расследования троянец, например, отправил SMS со словом Balance на номер 900, на котором работает сервис взаимодействия с услугой «Мобильный банк» «Сбербанка России». Таким образом владельцы троянца проверяли, привязан ли данный мобильный номер к счету в «Сбербанке» и узнавали баланс этого счета.
Можно предположить, что следующим шагом хозяев вируса станет перевод произвольной суммы на подставной мобильный счет. Дальнейшая судьба похищенных денег может быть самой разной. Например, у «большой тройки» российских операторов сотовой связи есть возможность перевода денег с лицевого счета на QIWI кошелек, средства на котором впоследствии можно обналичить и т.п.
Для того чтобы жертва как можно дольше оставалась в неведении, Trojan-SMS.AndroidOS.Svpeng.a тщательно заметает следы своей деятельности и препятствует общению жертвы и банка. В частности, он перехватывает SMS и звонки с принадлежащих банку номеров – их список также поступает к троянцу с C&C сервера. В результате жертва еще долгое время может не подозревать о том, что все деньги с ее банковского счета украдены.
Для распространения Trojan-SMS.AndroidOS.Svpeng.a злоумышленники используют проверенный путь: взлом легитимных сайтов и перенаправление их посетителей, заходящих с мобильного устройства, на вредоносный ресурс. Там пользователю предлагают скачать обновление Adobe Flash Player, под личиной которого и скрывается зловред.
Про DCIM у забезпеченні успішної роботи ІТ-директора