Зафиксирован первый случай распространения мобильного вредоносного ПО через социальные сети

Зафиксирован первый случай распространения мобильного вредоносного ПО через социальные сети

«Лаборатория Касперского»,   сообщает об обнаружении новой модификации мобильного троянца Trojan-SMS.J2ME.Konov.b, массово распространяющегося в социальной сети «ВКонтакте». Эксперты отмечают, что это новый этап эволюции распространения мобильного вредоносного программного обеспечения.

Троянская программа Trojan-SMS.J2ME.Konov хорошо известна экспертам, ее сигнатуры были добавлены в антивирусные базы «Лаборатории Касперского» в мае 2008 года. Новая версия отличается методом распространения: для доставки мобильного вредоносного ПО вирусописатели впервые задействовали социальную сеть.

Заражение данной троянской программой происходит по следующей схеме. Войдя на сайт, пользователь «ВКонтакте» получает сообщение от имени человека, внесенного в список друзей, с рассказом о возможности бесплатно пополнить свой мобильный счет. В сообщении предлагается через указанную ссылку скачать на мобильное устройство JAVA-программу, при подключении к которой якобы произойдет пополнение мобильного счета участника акции на сумму от 500 до 555 рублей.

На самом деле после установки указанного JAVA-приложения на мобильный телефон и его запуска, троянская программа отправляет SMS-сообщение на пять коротких премиум-номеров, списывая, таким образом, сумму за отправленные сообщения со счета зараженного телефона. По данным экспертов «Лаборатории Касперского», стоимость одного SMS-сообщения, отсылаемого троянцем с инфицированного телефона, составляет порядка 250 рублей. Префиксы сообщений и сами номера берутся из manifest-файла, хранящегося внутри jar-архива. В ряде случаев загрузка троянца сопровождается попыткой получить логин и пароль пользователя сайта «ВКонтакте» через подложный сайт с помощью фишинг-технологий. Получив такие данные, злоумышленники рассылают спам от имени обманутого пользователя через его контакт-лист.

«С точки зрения программного кода, троянец не представляет собой ничего принципиально нового, более того, Trojan-SMS.J2ME.Konov.b весьма прост. Данный случай любопытен, прежде всего, как факт, свидетельствующий о процессе изменения схем распространения мобильного вредоносного ПО, – отмечает ведущий вирусный аналитик «Лаборатории Касперского» Денис Масленников. – В практике борьбы с вирусами и зловредным ПО ранее не было зафиксировано случаев массовой спам-рассылки мобильных троянцев через социальные сети, однако эксперты «Лаборатории Касперского» прогнозировали подобное развитие событий еще в середине текущего года, выделяя тенденцию активного развития мобильного вредоносного ПО».

Сигнатуры вредоносной программы Trojan-SMS.J2ME.Konov.b. были добавлены в антивирусные базы «Лаборатории Касперского» 13 октября 2008 года.

«Лаборатория Касперского» напоминает, что киберпреступники часто пытаются обмануть доверчивых пользователей, маскируясь под известного жертве и пользующегося доверием отправителя. Гарантией надежной защиты в таких случаях может служить лишь осторожность пользователя и использование эффективных решений для защиты от вредоносных программ и хакерских атак.

RedWing охотится на пользователей Android в России и крадёт деньги

На Android появился новый банковский вредонос RedWing, который работает как готовый сервис для мошенников. Его сдают в аренду через Telegram: с тарифами, скидками за рефералов, инструкциями и обучающими видео. Даже преступнику без навыков разработки достаточно оплатить подписку и получить инструмент для кражи банковских данных.

Операцию обнаружили специалисты Zimperium zLabs. По их данным, RedWing похож на новый вариант Oblivion — вредоноса за $300 в месяц, о котором писали ранее.

Покупателю даже не нужно собирать приложение самому: телеграм-бот генерирует кастомный APK под выбранные цели.

Заражение начинается с фишинговой ссылки, которая ведёт на фейковую страницу магазина приложений. Конструктор умеет копировать Google Play, Galaxy Store, AppGallery и даже делать страницы с липовыми оценками, отзывами и счётчиком загрузок под заказ. Дальше жертву уговаривают установить приложение в обход официального магазина и выдать ему нужные разрешения.

 

RedWing действует аккуратно: не заваливает пользователя всем сразу, а просит доступы по одному. Сначала отключить ограничения батареи, потом сделать приложение обработчиком СМС, включить уведомления, а затем — дать доступ к Accessibility. И вот тут телефон фактически начинает работать не только на владельца.

 

После получения прав вредонос может показывать фейковые окна входа поверх банковских и криптоприложений, читать СМС с одноразовыми кодами, вытаскивать ПИН-коды и номера карт с экрана, вести кейлоггинг и транслировать экран оператору. Ещё хуже — RedWing умеет незаметно включать переадресацию входящих звонков через код *21*, чтобы перехватывать банковские проверки и звонки антифрода.

В арсенале также доступ к камере и микрофону, кража файлов, контактов и журналов вызовов, отслеживание геолокации и даже использование заражённых устройств для DDoS-атак.

Zimperium насчитала 82 целевые организации, причём заметный фокус сделан на российских финансовых компаниях. Один из образцов использовал фейковую страницу RuStore.

RSS: Новости на портале Anti-Malware.ru