В настоящее время существуют сотни различных представителей банковских троянцев для ОС Android, и один из них – Android.SmsSpy.88.origin, известный еще с 2014 года. Несмотря на свой возраст эта вредоносная программа нисколько не утратила актуальности, поскольку вирусописатели усовершенствовали ее функционал, сделав банкера более опасным и добавив функции троянца-вымогателя.
Банковские троянцы, заражающие мобильные устройства под управлением ОС Android, представляют собой одну из главных угроз для пользователей, поскольку способны украсть все деньги со счетов своих жертв. О «высотах», которых сумел достичь Android.SmsSpy.88.origin, мы расскажем в этом материале.
Первые версии вредоносной программы Android.SmsSpy.88.origin, об одной из которых компания «Доктор Веб» впервые сообщила в апреле 2014 года, были довольно примитивными. Изначально злоумышленники использовали этого троянца для перехвата СМС-сообщений с одноразовыми банковскими паролями, а также для незаметной отправки СМС и выполнения телефонных звонков. Позднее вирусописатели несколько усовершенствовали возможности Android.SmsSpy.88.origin, добавив в него функционал для кражи информации о кредитных картах. В частности, при запуске программы Google Play, а также нескольких приложений типа «банк-клиент» известных российских банков троянец показывал поверх их окон поддельную форму ввода конфиденциальных данных и после получения сведений о кредитной карте отправлял их киберпреступникам,
Примечательно, что все ранние модификации троянца атаковали только пользователей из России и ряда стран СНГ, при этом распространялся Android.SmsSpy.88.origin благодаря СМС-спаму. В частности, потенциальным жертвам могли приходить сообщения, в которых предлагалось перейти по указанной ссылке и ознакомиться с ответом на размещенное в Интернете объявление. В действительности же эти ссылки вели на мошеннические веб-сайты, при посещении которых на Android-устройства загружалось вредоносное приложение, замаскированное под безобидную программу.
Позднее число атак с использованием этого банкера значительно сократилось, однако с конца 2015 года вирусные аналитики «Доктор Веб» начали фиксировать распространение новых, более функциональных версий троянца, которые в отличие от ранних модификаций предназначались для заражения Android-смартфонов и планшетов уже по всему миру.
Как и прежде, это вредоносное приложение попадает на мобильные устройства под видом безобидных программ, например, проигрывателя Adobe Flash Player. После запуска Android.SmsSpy.88.origin запрашивает у пользователя доступ к правам администратора мобильного устройства, чтобы в дальнейшем затруднить свое удаление из зараженной системы.
Далее троянец подключается к сети и поддерживает соединение в активном состоянии, используя для этого Wi-Fi или канал передачи данных мобильного оператора. Таким образом вредоносное приложение пытается обеспечить постоянную связь с управляющим сервером, чтобы избежать каких-либо перебоев в работе. Затем банкер формирует для зараженного устройства уникальный идентификатор, который вместе с другой технической информацией передается на сервер злоумышленников, где происходит регистрация инфицированного смартфона или планшета.
Основная задача новых модификаций Android.SmsSpy.88.origin осталась неизменной: троянец пытается похитить логины и пароли от учетных записей мобильного банкинга и передает их киберпреступникам, а также может незаметно украсть деньги со счетов пользователей. Для этого банкер отслеживает запуск приложений типа «банк-клиент», список которых хранится в конфигурационном файле. Число контролируемых приложений в различных модификациях троянца может незначительно различаться, однако общее их количество, которое установили вирусные аналитики «Доктор Веб», на данный момент приближается к 100.
После того как владелец устройства запускает одно из атакуемых приложений, Android.SmsSpy.88.origin при помощи компонента WebView показывает поверх его окна фишинговую форму ввода аутентификационных данных для доступа к учетной записи мобильного банкинга. Как только пользователь предоставляет троянцу нужную информацию, она незаметно передается злоумышленникам, и те получают полный контроль над всеми счетами жертвы.
Одна из главных особенностей Android.SmsSpy.88.origin заключается в том, что с использованием этого троянца киберпреступники могут атаковать клиентов фактически любого банка. Для этого им необходимо лишь создать новый шаблон мошеннической формы аутентификации и отдать вредоносному приложению команду на обновление конфигурационного файла, в котором будет указано название банковского клиентского ПО соответствующей кредитной организации.
Помимо кражи логинов и паролей для доступа к банковским учетным записям новая версия троянца по-прежнему пытается похитить у пользователей информацию и об их кредитных картах. Для этого Android.SmsSpy.88.origin отслеживает запуск целого ряда популярных приложений, а также некоторых системных программ, и после того как это ПО начинает работу, показывает поверх его окна фишинговую форму настроек платежного сервиса Google Play.
Однако троянец способен выполнять и другие вредоносные действия. В частности, по команде киберпреступников Android.SmsSpy.88.origin может перехватывать и отсылать СМС- и MMS-сообщения, отправлять USSD-запросы, рассылать СМС по всем номерам из телефонной книги, передавать на сервер все имеющиеся сообщения, установить пароль на разблокировку экрана или заблокировать экран специально сформированным окном. Так, получив команду на блокировку, троянец загружает с управляющего сервера заранее подготовленный шаблон окна с текстом, в котором жертву обвиняют в незаконном хранении и распространении порнографии и требуют в качестве штрафа оплатить подарочную карту музыкального сервиса iTunes.
Таким образом, Android.SmsSpy.88.origin несет в себе не только возможности банковского троянца и реализует шпионские функции, но также может использоваться злоумышленниками и в качестве троянца-вымогателя, давая вирусописателям шанс получить больше незаконной прибыли.
Ко всему прочему обновленный Android.SmsSpy.88.origin обладает и функцией самозащиты: вредоносное приложение пытается помешать работе целого ряда антивирусных программ и сервисных утилит, не позволяя им запуститься.
С начала 2016 года специалисты компании «Доктор Веб» получили доступ к более чем 50 бот-сетям, которые состояли из мобильных устройств, зараженных различными модификациями Android.SmsSpy.88.origin. В результате проведенного исследования вирусные аналитики установили, что киберпреступники атаковали пользователей более 200 стран, а общее подтвержденное число инфицированных устройств достигло почти 40 000.
Наибольшее число устройств, зараженных троянцем, пришлось на Турцию (18,29%), Индию (8,81%), Испанию (6,90%), Австралию (6,87%), Германию (5,77%), Францию (3,34%), США (2,95%), Филиппины (2,70%), Индонезию (2,22%), Италию (1,99%), ЮАР (1,59%), Великобританию (1,53%), Пакистан (1,51%), Польшу (1,1%), Иран (0,98%), Саудовскую Аравию (0,96%), Китай (0,92%), а также Бангладеш (0,85%).
При этом наибольшее число мобильных устройств, зараженных Android.SmsSpy.88.origin, работало на ОС Android версии 4.4 (35,71%), 5.1 (14,46%), 5.0 (14,10%), 4.2 (13,00%) и 4.1 (9,88%).
Обширная география распространения Android.SmsSpy.88.origin объясняется тем, что создавшие троянца вирусописатели рекламируют его на различных подпольных хакерских форумах, продавая как коммерческий продукт. При этом в комплекте с самой вредоносной программой злоумышленники – покупатели незаконной услуги получают и серверную часть вместе с панелью администрирования, при помощи которой могут управлять зараженными устройствами.
Meta (признана экстремистской и запрещена в России) начала постепенно закрывать уязвимости в WhatsApp, которые позволяли определять операционную систему пользователя без его ведома. Речь идёт не о взломе аккаунта напрямую, а о снятии цифрового отпечатка — сборе метаданных, которые помогают атакующим понять, какое именно устройство и ОС у жертвы, чтобы затем подобрать подходящий вектор атаки.
Почему это важно? Потому что WhatsApp — один из самых привлекательных каналов доставки шпионского софта.
У мессенджера около 3 млрд пользователей, а редкие 0-day уязвимости в нём ценятся на вес золота: за полноценную цепочку эксплойтов на рынке могут предлагать до миллиона долларов. Именно такие уязвимости, например, использовались в атаках с применением шпионского инструмента Paragon, о которых стало известно в 2025 году.
Прежде чем задействовать zero-day, злоумышленникам нужно понять, какую ОС использует цель — Android, iOS или веб-версию на десктопе. Как выяснили исследователи за последние пару лет, для этого достаточно одного номера телефона. Никаких кликов, сообщений или уведомлений жертве не требуется — она даже не узнает, что данные о её устройстве уже собраны.
Атакующие могут определить основной девайс пользователя, ОС всех привязанных устройств, примерный «возраст» этих устройств и даже то, используется ли WhatsApp через приложение или браузер. Всё это стало возможным из-за предсказуемых значений идентификаторов ключей шифрования, которые WhatsApp присваивал устройствам.
Одним из ключевых исследователей этой темы стал Таль Беэри, сооснователь и CTO криптокошелька Zengo. Он и его коллеги давно сообщали Meta (признана экстремистской и запрещена в России) о проблеме, но разработчики отреагировали только недавно. Беэри заметил, что WhatsApp начал рандомизировать идентификаторы ключей на Android, что уже серьёзно осложняет снятие цифрового отпечатка.
Полностью проблема, впрочем, не решена. По словам исследователя, отличить Android от iPhone всё ещё можно с высокой точностью: iOS использует постепенно увеличивающиеся значения, тогда как Android — случайные в полном 24-битном диапазоне. Тем не менее Беэри считает, что это первый шаг к полноценному фиксу, который закроет уязвимость на всех платформах.
При этом исследователь раскритиковал «тихий» характер изменений: пользователи не знают, что именно было исправлено, а сами отчёты не получили CVE-идентификаторов. В Meta с этим не совсем согласны.
В корпорации пояснили, что определение ОС само по себе не считается серьёзной проблемой. Во-первых, снятие отпечатка возможно не только в WhatsApp, но и во многих других сервисах. Во-вторых, сами операционные системы часто намеренно «подсказывают» свою платформу ради удобства пользователей. И наконец, без 0-day такая информация имеет ограниченную практическую ценность для атакующих.
Тем не менее в компании признали, что отчёт Беэри помог улучшить обработку некорректных сообщений и доработать процессы поиска уязвимостей. Исследователь получил вознаграждение, а Meta напомнила, что всего за время существования программы баг-баунти выплатила $25 млн, из них $4 млн — в 2025 году.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
