Троян Android.SpyEye.1 работает в связке с коллегой для настольных ПК
Компания «Доктор Веб» опубликовала рейтинг вредоносных приложений сентября для Android. Их число по-прежнему продолжает расти: только за последний месяц в вирусные базы было добавлено более сотни новых записей.
Одна из наиболее интересных угроз для Android — троянец Android.SpyEye.1. Риску заражения этой вредоносной программой подвержены, в первую очередь, пользователи, компьютеры которых уже инфицированы троянской программой SpyEye. При обращении к различным банковским сайтам, адреса которых присутствуют в конфигурационном файле троянца, в просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, которое может включать различный текст или веб-формы. Таким образом, ничего не подозревающая жертва открывает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее имеется счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе «Банк-Клиент». Для этого он должен установить на свой мобильный телефон специальное приложение, которое якобы защитит его от перехвата СМС-сообщений. Ниже на просматриваемой пользователем странице приводится ссылка на эту программу, распространяемую под именем simseg.apk. Размер вредоносной программы составляет порядка 20 Кбайт.
После загрузки и инсталляции на мобильном устройстве данное приложение не отображается в списке установленных программ: для того чтобы его отыскать, пользователю придется перейти в системный апплет «Настройки», открыть раздел «Приложения» и выбрать опцию «Управление приложениями». Вредоносная программа скрывается под значком «Система».
Для того чтобы «активировать» данное приложение согласно предлагаемой злоумышленниками инструкции, пользователь должен выполнить со своего устройства телефонный звонок на номер 325000. Android.SpyEye.1 перехватывает этот звонок и демонстрирует на экране мобильного устройства «код активации», который якобы потребуется ввести на банковском сайте впоследствии, — этот код всегда один и тот же и представляет собой число 251340.
После этого все получаемые владельцем инфицированного устройства входящие СМС-сообщения будут перехватываться троянцем и перенаправляться злоумышленникам.