Система обнаружения киберугроз компании Group-IB отметила активное распространение вредоносной программы, работающей под ОС Android. Под угрозой, в частности, оказались клиенты российских банков, использующие SMS-банкинг.
Было зафиксировано много случаев, когда пользователь получал SMS-сообщения со ссылкой от кого-то из своего контакт-листа. В начале сообщения подставлялось имя из записной книги пользователя, чей смартфон был заражен вирусом.
Кликнув по ссылке, пользователь видел запись: «Уважаемый пользователь, вам пришла cмс-фотография. Посмотреть вы ее можете по ссылке ниже». Спам сопровождался следующей инструкцией: «Во время установки, нажмите НАСТРОЙКИ -> Разрешить установку из неизвестных источников -> OK». После нажатия на кнопку «Посмотреть» на устройство загружалась вредоносная программ с расширением .APK.
После загрузки на устройство программа делала запрос на номер SMS-банкинга жертвы, узнавала баланс счета и переводила деньги на счета, подконтрольные злоумышленникам. При этом включался перехват входящих SMS-сообщений, и жертва даже не подозревала, что с ее счета снимаются деньги.
Помимо этого, в функционал вируса входит показ «веб-фейков» – окон браузера, визуально схожих с окнами авторизации банковских приложений. Вводя в них данные карт, жертва отправляет их злоумышленникам напрямую.
«Лаборатория Касперского» также отмечает всплеск заражений на Android-устройствах. Вирус Xafekopy незаметно подписывает пользователей на платные сервисы. Вредоносная программа нацелена в основном на юзеров из России и Индии.
Зараженные приложения распространяются через рекламные сети под видом полезных программ. Это делается для того, чтобы модераторам рекламных сетей было сложнее идентифицировать программу как вредоносную.
Пользователям настоятельно не рекомендуется устанавливать приложения для Android (.APK) из недоверенных источников и не давать им дополнительных прав в систем.
Источник: group-ib.ru