Bankarski trojanac SmsSpy inficirao 40000 Android uređaja

Mobilni telefoni, 16.05.2016, 08:00 AM

Android.SmsSpy.88 je trojanac za Android koji je otkriven pre dve godine. Od kada su ga u aprilu 2014. primetili stručnjaci ruske kompanije Doctor Web do danas, ovaj trojanac je prešao put od običnog spywarea, preko bankarskog trojanca do ransomwarea.

Dok je funkcionisao kao spyware, Android.SmsSpy.88 širio se preko SMS poruka. Kada bi inficirao uređaj malver je mogao da presreće SMS poruke koje sadrže jednokratne lozinke a koje šalju dvofaktorni sistemi za autentifikaciju.

Vremenom Android.SmsSpy je dobio neke nove funkcije pa je mogao da krade informacije o kreditnim karticama kada bi korisnici pokretali aplikaciju Google Play ili aplikacije banaka. Malver bi tada prikazivao lažnu formu preko pokrenutih aplikacija, koja liči na onu koju prikazuje Google Play prodavnica aplikacija, kao i da imitira forme za prijave nekoliko poznatih ruskih banaka. Informacije o kreditnoj kartici koje bi žrtva unela, malver je odmah slao kriminalcima. Prve verzije trojanca su napadale samo mobilne uređaje korisnika u Rusiji i zemljama Zajednice nezavisnih država.

Krajem prošle godine, SmsSpy je još jednom evoluirao tako da je od tada mogao da krade korisnička imena i lozinke za prijavljivanje na online račune skoro svih banaka u svetu. To ažuriranje omogućilo je trojancu da zaključava ekran uređaja i da traži otkup.

Trojanac se od tada umesto preko SMS spam poruka širi maskiran u lažne aplikacije kao što je Adobe Flash Player.

Kada se pokrene, SmsSpy.88 traži od korisnika administratorske privilegije da bi što duže opstao na uređaju. Trojancu je neophodna i veza sa internetom da bi bio u stalnoj vezi sa komandno-kontrolnim serverom. Malver generiše jedinstveni identifikator za svaki inficirani uređaj. Taj identifikator i tehničke informacije se zatim šalju serveru gde se registruje inficirani uređaj.

Glavni zadatak trojanca je da krade korisnička imena i lozinke iz aplikacija banaka i šalje ih sajber kriminalcima, koji ih koriste da bi krali novac sa računa žrtava. Da bi to postigao, trojanac mora da proveri da li se u njegovom konfiguracionom fajlu nalazi aplikacija banke koja je instalirana na inficiranom uređaju. Istraživači Doctor Weba su do sada otkrili 100 takvih aplikacija koje malver traži na inficiranim uređajima.

Kada se pokrene aplikacija banke, SmsSpy.88 koristi WebView da bi prikazao formu za pristup nalogu, a ako korisnik pruži tražene informacije, one se šalju serveru i dalje koriste za krađu novca sa njegovog računa u banci.

Malver može da napadne klijente skoro svake banke u svetu. Sajber kriminalci prave novi obrazac i šalju komandu trojancu da ažurira svoj konfiguracioni fajl. Kada se bude ažurirao, fajl će sadržati i naziv aplikacije banke koja se nalazi na inficiranom uređaju.

Pored toga, trojanac može da šalje USSD zahteve, presreće SMS i MMS poruke, šalje SMS spam poruke svim kontaktima u telefonu, da šalje kriminalcima sve sačuvane SMS poruke, da zaključa ekran postavljajući lozinku koja je nepoznata korisniku. On može da zaključa i početni ekran prikazujući obaveštenje u kome se korisnik optužuje da je čuvao i distribuirao pornografiju i da mora da plati ako želi da uređaj bude otključan.

SmsSpy takođe ometa rad nekih antivirusnih programa, sprečavajući njihovo pokretanje.

Android.SmsSpy je do sada zarazio najmanje 40000 mobilnih uređaja u 200 zemalja. Najviše inficiranih uređaja je u Turskoj, Indiji, Španiji, Australiji, Nemačkoj i Francuskoj.

Među najugroženijim su Android uređaji sa verzijom 4.4 Androida, ali SmsSpy je inficirao i skoro sve verzije od 2.3 do 5.2.

Istraživači Doctor Weba su otkrili više od 50 bot mreža koje čine mobilni uređaji inficirani različitim verzijama malvera.

Razlog zbog koga je Android.SmsSpy tako široko rasprostranjen leži u činjenici da njegovi autori reklamiraju i prodaju ovaj maliciozni program na brojnim forumima. Osim samog trojanca, oni koji kupe malver dobijaju i server zajedno sa administratorskim panelom koji im omogućava da upravljaju infciranim uređajima.