Bankarski trojanac SmsSpy inficirao 40000 Android uređaja

Mobilni telefoni, 16.05.2016, 08:00 AM

Bankarski trojanac SmsSpy inficirao 40000 Android uređaja

Android.SmsSpy.88 je trojanac za Android koji je otkriven pre dve godine. Od kada su ga u aprilu 2014. primetili stručnjaci ruske kompanije Doctor Web do danas, ovaj trojanac je prešao put od običnog spywarea, preko bankarskog trojanca do ransomwarea.

Dok je funkcionisao kao spyware, Android.SmsSpy.88 širio se preko SMS poruka. Kada bi inficirao uređaj malver je mogao da presreće SMS poruke koje sadrže jednokratne lozinke a koje šalju dvofaktorni sistemi za autentifikaciju.

Vremenom Android.SmsSpy je dobio neke nove funkcije pa je mogao da krade informacije o kreditnim karticama kada bi korisnici pokretali aplikaciju Google Play ili aplikacije banaka. Malver bi tada prikazivao lažnu formu preko pokrenutih aplikacija, koja liči na onu koju prikazuje Google Play prodavnica aplikacija, kao i da imitira forme za prijave nekoliko poznatih ruskih banaka. Informacije o kreditnoj kartici koje bi žrtva unela, malver je odmah slao kriminalcima. Prve verzije trojanca su napadale samo mobilne uređaje korisnika u Rusiji i zemljama Zajednice nezavisnih država.

Krajem prošle godine, SmsSpy je još jednom evoluirao tako da je od tada mogao da krade korisnička imena i lozinke za prijavljivanje na online račune skoro svih banaka u svetu. To ažuriranje omogućilo je trojancu da zaključava ekran uređaja i da traži otkup.

Trojanac se od tada umesto preko SMS spam poruka širi maskiran u lažne aplikacije kao što je Adobe Flash Player.

Kada se pokrene, SmsSpy.88 traži od korisnika administratorske privilegije da bi što duže opstao na uređaju. Trojancu je neophodna i veza sa internetom da bi bio u stalnoj vezi sa komandno-kontrolnim serverom. Malver generiše jedinstveni identifikator za svaki inficirani uređaj. Taj identifikator i tehničke informacije se zatim šalju serveru gde se registruje inficirani uređaj.

Glavni zadatak trojanca je da krade korisnička imena i lozinke iz aplikacija banaka i šalje ih sajber kriminalcima, koji ih koriste da bi krali novac sa računa žrtava. Da bi to postigao, trojanac mora da proveri da li se u njegovom konfiguracionom fajlu nalazi aplikacija banke koja je instalirana na inficiranom uređaju. Istraživači Doctor Weba su do sada otkrili 100 takvih aplikacija koje malver traži na inficiranim uređajima.

Kada se pokrene aplikacija banke, SmsSpy.88 koristi WebView da bi prikazao formu za pristup nalogu, a ako korisnik pruži tražene informacije, one se šalju serveru i dalje koriste za krađu novca sa njegovog računa u banci.

Malver može da napadne klijente skoro svake banke u svetu. Sajber kriminalci prave novi obrazac i šalju komandu trojancu da ažurira svoj konfiguracioni fajl. Kada se bude ažurirao, fajl će sadržati i naziv aplikacije banke koja se nalazi na inficiranom uređaju.

Pored toga, trojanac može da šalje USSD zahteve, presreće SMS i MMS poruke, šalje SMS spam poruke svim kontaktima u telefonu, da šalje kriminalcima sve sačuvane SMS poruke, da zaključa ekran postavljajući lozinku koja je nepoznata korisniku. On može da zaključa i početni ekran prikazujući obaveštenje u kome se korisnik optužuje da je čuvao i distribuirao pornografiju i da mora da plati ako želi da uređaj bude otključan.

SmsSpy takođe ometa rad nekih antivirusnih programa, sprečavajući njihovo pokretanje.

Android.SmsSpy je do sada zarazio najmanje 40000 mobilnih uređaja u 200 zemalja. Najviše inficiranih uređaja je u Turskoj, Indiji, Španiji, Australiji, Nemačkoj i Francuskoj.

Među najugroženijim su Android uređaji sa verzijom 4.4 Androida, ali SmsSpy je inficirao i skoro sve verzije od 2.3 do 5.2.

Istraživači Doctor Weba su otkrili više od 50 bot mreža koje čine mobilni uređaji inficirani različitim verzijama malvera.

Razlog zbog koga je Android.SmsSpy tako široko rasprostranjen leži u činjenici da njegovi autori reklamiraju i prodaju ovaj maliciozni program na brojnim forumima. Osim samog trojanca, oni koji kupe malver dobijaju i server zajedno sa administratorskim panelom koji im omogućava da upravljaju infciranim uređajima.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Huawei telefoni ostaju bez Androida i Googleovih aplikacija

Huawei telefoni ostaju bez Androida i Googleovih aplikacija

Google je prisiljen da odmah prekine poslovanje sa kompanijom Huawei, što će imati dramatičan uticaj na korisnike Huawei uređaja širom sveta. "Ki... Dalje

Bag u WhatsAppu korišćen za instalaciju špijunskog softvera na iPhone i Android uređajima

Bag u WhatsAppu korišćen za instalaciju špijunskog softvera na iPhone i Android uređajima

WhatsApp je ispravio sigurnosnu grešku (CVE-2019-3568) u aplikaciji koja omogućava instalaciju špijunskog softvera na Android i iPhone uređajima. ... Dalje

Google Play će vam predlagati da deinstalirate aplikacije koje ne koristite

Google Play će vam predlagati da deinstalirate aplikacije koje ne koristite

Većina nas ima gomilu aplikacija na svojim pametnim telefonima, ali činjenica je da svakodnevno koristimo samo nekoliko aplikacija, dok ostale koris... Dalje

Apple se brani od optužbi: Uklonili smo aplikacije za roditeljsku kontrolu iz sigurnosnih razloga

Apple se brani od optužbi: Uklonili smo aplikacije za roditeljsku kontrolu iz sigurnosnih razloga

Apple tvrdi da je razlog za njegovu kontroverznu odluku da povuče konkurentske aplikacije za roditeljsku kontrolu iz App Storea zaštita privatnosti ... Dalje

Android aplikacija WiFi Finder otkrila lozinke kućnih WiFi mreža korisnika

Android aplikacija WiFi Finder otkrila lozinke kućnih WiFi mreža korisnika

Hiljade korisnika aplikacije WiFi Finder, čija je svrha da pronađe i obezbedi lozinke za javne Wi-Fi pristupne tačke, nenamerno su poslali sopstven... Dalje