Bankarski trojanac SmsSpy inficirao 40000 Android uređaja

Mobilni telefoni, 16.05.2016, 08:00 AM

Bankarski trojanac SmsSpy inficirao 40000 Android uređaja

Android.SmsSpy.88 je trojanac za Android koji je otkriven pre dve godine. Od kada su ga u aprilu 2014. primetili stručnjaci ruske kompanije Doctor Web do danas, ovaj trojanac je prešao put od običnog spywarea, preko bankarskog trojanca do ransomwarea.

Dok je funkcionisao kao spyware, Android.SmsSpy.88 širio se preko SMS poruka. Kada bi inficirao uređaj malver je mogao da presreće SMS poruke koje sadrže jednokratne lozinke a koje šalju dvofaktorni sistemi za autentifikaciju.

Vremenom Android.SmsSpy je dobio neke nove funkcije pa je mogao da krade informacije o kreditnim karticama kada bi korisnici pokretali aplikaciju Google Play ili aplikacije banaka. Malver bi tada prikazivao lažnu formu preko pokrenutih aplikacija, koja liči na onu koju prikazuje Google Play prodavnica aplikacija, kao i da imitira forme za prijave nekoliko poznatih ruskih banaka. Informacije o kreditnoj kartici koje bi žrtva unela, malver je odmah slao kriminalcima. Prve verzije trojanca su napadale samo mobilne uređaje korisnika u Rusiji i zemljama Zajednice nezavisnih država.

Krajem prošle godine, SmsSpy je još jednom evoluirao tako da je od tada mogao da krade korisnička imena i lozinke za prijavljivanje na online račune skoro svih banaka u svetu. To ažuriranje omogućilo je trojancu da zaključava ekran uređaja i da traži otkup.

Trojanac se od tada umesto preko SMS spam poruka širi maskiran u lažne aplikacije kao što je Adobe Flash Player.

Kada se pokrene, SmsSpy.88 traži od korisnika administratorske privilegije da bi što duže opstao na uređaju. Trojancu je neophodna i veza sa internetom da bi bio u stalnoj vezi sa komandno-kontrolnim serverom. Malver generiše jedinstveni identifikator za svaki inficirani uređaj. Taj identifikator i tehničke informacije se zatim šalju serveru gde se registruje inficirani uređaj.

Glavni zadatak trojanca je da krade korisnička imena i lozinke iz aplikacija banaka i šalje ih sajber kriminalcima, koji ih koriste da bi krali novac sa računa žrtava. Da bi to postigao, trojanac mora da proveri da li se u njegovom konfiguracionom fajlu nalazi aplikacija banke koja je instalirana na inficiranom uređaju. Istraživači Doctor Weba su do sada otkrili 100 takvih aplikacija koje malver traži na inficiranim uređajima.

Kada se pokrene aplikacija banke, SmsSpy.88 koristi WebView da bi prikazao formu za pristup nalogu, a ako korisnik pruži tražene informacije, one se šalju serveru i dalje koriste za krađu novca sa njegovog računa u banci.

Malver može da napadne klijente skoro svake banke u svetu. Sajber kriminalci prave novi obrazac i šalju komandu trojancu da ažurira svoj konfiguracioni fajl. Kada se bude ažurirao, fajl će sadržati i naziv aplikacije banke koja se nalazi na inficiranom uređaju.

Pored toga, trojanac može da šalje USSD zahteve, presreće SMS i MMS poruke, šalje SMS spam poruke svim kontaktima u telefonu, da šalje kriminalcima sve sačuvane SMS poruke, da zaključa ekran postavljajući lozinku koja je nepoznata korisniku. On može da zaključa i početni ekran prikazujući obaveštenje u kome se korisnik optužuje da je čuvao i distribuirao pornografiju i da mora da plati ako želi da uređaj bude otključan.

SmsSpy takođe ometa rad nekih antivirusnih programa, sprečavajući njihovo pokretanje.

Android.SmsSpy je do sada zarazio najmanje 40000 mobilnih uređaja u 200 zemalja. Najviše inficiranih uređaja je u Turskoj, Indiji, Španiji, Australiji, Nemačkoj i Francuskoj.

Među najugroženijim su Android uređaji sa verzijom 4.4 Androida, ali SmsSpy je inficirao i skoro sve verzije od 2.3 do 5.2.

Istraživači Doctor Weba su otkrili više od 50 bot mreža koje čine mobilni uređaji inficirani različitim verzijama malvera.

Razlog zbog koga je Android.SmsSpy tako široko rasprostranjen leži u činjenici da njegovi autori reklamiraju i prodaju ovaj maliciozni program na brojnim forumima. Osim samog trojanca, oni koji kupe malver dobijaju i server zajedno sa administratorskim panelom koji im omogućava da upravljaju infciranim uređajima.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Ovih dana je lako doći do aplikacija za praćenje za mobilne telefone. Ne morate ih mnogo tražiti, ima ih i u Googleovoj prodavnici Android aplikaci... Dalje

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Istraživači kompanije Symantec pokazali su nekoliko zanimljivih scenarija napada na aplikacije WhatsApp i Telegram za Android. Napad nazvan "Media F... Dalje

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Pametni telefoni su rudnik zlata kada su u pitanju podaci korisnika zahvaljujući aplikacijama koje neprestano prikupljaju sve moguće podatke sa ure... Dalje

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

“Tekstualne bombe” su već duže vreme problem na iPhone uređajima, ali ovaj put je to ozbiljno, jer se može popraviti samo potpunim br... Dalje

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lukas Stefanko, iz kompanije ESET, otkrio je u Google Play prodavnici lažnu aplikaciju pod nazivom ES File Explorer. Aplikacija nije nudila korisnici... Dalje