Специалисты компании Zscaler нашли новый Android-троян, который распространяется под видом документа Microsoft Word. Специалисты ИБ зафиксировали несколько сотен заражений, в основном, на территории Китая.
Вирус маскируется под файл данных с ярлыком, похожий на тот, который используется Microsoft Word. После активации троян получает повышенные привилегии, поэтому удалит его не так просто. Вирус проводит сканирование на наличие SMS-сообщений и другой личной информации, такой как номер IMEI, номер SIM-карты, ID устройства, контактных данных жертвы и пр. Затем вся собранная информация отправляется по e-mail или в виде текстовых сообщений на C&C-сервер злоумышленников.
После того как жертва запустит приложение, на экране появится сообщение об ошибке с предупреждением о том, что данное ПО не совместимо со смартфоном, а затем ярлык исчезает с дисплея. В то время как показывается сообщение, приложение выполняет ряд действий, в том числе отправляет SMS-сообщения на жестко закодированный номер, запускает службу MyService и два потока (SMSTask и MailTask), которые работают в фоновом режиме, а также звонит на номера, обозначенные атакующими.
Как заявил эксперт ИБ Zscaler Шиванг Десаи (Shivang Desai), создатели вредоносного ПО реализовали функции, позволяющие посылать ему номера телефонов в виде SMS. Вирус перехватывает такие сообщения и звонит на указанный номер. Скорее всего, в данном случае речь идет о премиум-сервисе, причем оператор трояна получает вознаграждение за звонки. Специалист также подчеркнул угрозу конфиденциальности, поскольку SMS могут содержать не только частную переписку жертвы, но и банковские коды и коды подтверждения для других online-сервисов.
Текущая кампания была выявлена 10 октября этого года. Экспертам Zscaler удалось получить доступ к панели управления, содержащей списки похищенных данных. Стоит заметить, что за неполный месяц в результате действий злоумышленников пострадало более 300 пользователей.