Описание вредоносного ПО

Грабитель с ручным управлением

Наиболее распространенным способом кражи денег у владельцев Android-смартфонов является отправка SMS на премиум номера. При этом жадность злоумышленников чаще всего приводит к тому, что троянец отправляет не одно сообщение ценой, скажем, 100 рублей, а два-три общей стоимостью до 1000 рублей, и в результате привлекает внимание жертвы. Но даже успешная кража заветной тысячи не приносит владельцу троянца большого дохода. Дело в том, что при такой схеме монетизации часть денег уходит посредникам (зачастую не подозревающим о причинах внезапной популярности дорогостоящего премиум номера):

  1. Оператор сотовой связи, около 50% процентов от стоимости сообщения
  2. Контент-провайдер, ещё 5-10% процентов
  3. Партнёрская программа, ещё 10-20%

В итоге злоумышленникам, занимающимся распространением троянцев, достаётся немного. А если жертвы троянца пожалуются сотовому оператору на пропажу денег и тот оштрафует посредников, то и того меньше. В такой ситуации появление новых способов отъема денег у населения было лишь вопросом времени.

И вот в середине июля мы обнаружили новую угрозу, которая позволяет быстро и незаметно выудить у ничего не подозревающей жертвы значительную сумму денег. К нам в руки попал вредоносный объект, который мы классифицировали как Trojan-SMS.AndroidOS.Svpeng.a. Задачей этого троянца является выполнение команд, поступающих с удаленного C&C сервера. Такой подход характерен для большинства вредоносных программ класса Trojan-SMS, поскольку обеспечивает более гибкую реакцию владельца троянца на изменение окружающих условий:  сотового оператора, баланса счета, времени суток.

Но, как показало наше расследование, в отличие от своих собратьев новый SMS-троянец, предоставляет своим хозяевам возможность хищения денег не с мобильного, а с банковского счета жертвы.

Плохое поведение

Попав на мобильное устройство, Trojan-SMS.AndroidOS.Svpeng.a никак не проявляет себя, пока не получит какую-либо команду от своих хозяев. Для общения с удаленным C&C сервером и получения команд троянец использует POST запросы.

Обычно SMS-троянцы автоматически рассылают дорогостоящие SMS, получив команду хозяина. Но этот экземпляр лишен самостоятельности и поэтому вся его деятельность привязана к командному серверу – он получает команду, выполняет ее, сообщает хозяевам результат и ждет новую команду.

Нам удалось запустить Trojan-SMS.AndroidOS.Svpeng.a и перехватить несколько поступивших команд. В ходе выполнения одной из них троянец отправил SMS со словом BALANCE на номер 900, на котором работает сервис взаимодействия с услугой «Мобильный банк» Сбербанка России. Таким образом владельцы троянца проверяли, привязан ли данный мобильный номер к счету в Сбербанке и узнавали баланс этого счета.

Как видно на скриншоте, сервис «Мобильный банк» в ответном сообщении предлагает пополнить счет любого мобильного телефона. Это позволяет предположить, что следующим шагом хозяев троянца будет перевод любой доступной в «Мобильном банке» суммы на мобильный номер злоумышленников. Также можно предположить, что аналогичным способом хозяева троянца проверяют наличие у жертвы подключенного мобильного сервиса других банков.

Дальнейшая судьба похищенных денег может быть самой разной. Например, у «большой тройки» операторов  сотовой связи есть возможность перевода денег с лицевого счета на QIWI кошелек, средства на котором впоследствии можно обналичить. Для того чтобы жертва как можно дольше оставалась в неведении, Trojan-SMS.AndroidOS.Svpeng.a тщательно заметает следы своей деятельности и препятствует общению жертвы и банка. В частности, он перехватывает SMS и звонки с принадлежащих банку номеров – их список также поступает к троянцу с C&C сервера. В результате жертва ещё долгое время может не подозревать о том, что все деньги с ее банковского счета украдены.

Препарируем троянец

Наше исследование показало, что в Trojan-SMS.AndroidOS.Svpeng.a может собрать и отправлять хозяевам данные о телефоне (IMEI, название сотового оператора, страна).

По-видимому, он используется злоумышленниками для определения круга банков, услугами которых может пользоваться жертва.

Среди задач Trojan-SMS.AndroidOS.Svpeng.a, которые тот может выполнять по команде хозяев, наибольший интерес для нас представляют:

  • Кража всех входящих/исходящих  сообщений

  • Кража информации о всех входящих/исходящих звонках

  • Передача списка запущенных на смартфоне процессов

  • Разумеется, отправка SMS:

  • Блокировка входящих/исходящих звонков с указанного номера

Для распространения Trojan-SMS.AndroidOS.Svpeng.a злоумышленники используют проверенный путь: взлом легитимных сайтов и перенаправление их посетителей, заходящих с мобильного устройства, на вредоносный ресурс. Там пользователю предлагают скачать обновление Adobe Flash Player, под личиной которого и скрывается зловред.

Для того чтобы усложнить собственное удаление Trojan-SMS.AndroidOS.Svpeng запрашивает права Device Administrator.

В результате кнопка удаления фальшивого приложения, расположенная в настройках ОС, становится неактивной. И это может стать проблемой для неподготовленного пользователя.

Если же пользователь попытается лишить троянца прав Device Administrator, то увидит запрос на сброс пользовательских настроек и возврат зараженного устройства к заводским настройкам:

На самом деле Trojan-SMS.AndroidOS.Svpeng не может выполнить сброс настроек, с помощью этого сообщения злоумышленники рассчитывают напугать пользователя, чтобы тот не препятствовал работе троянца.

Грабитель с ручным управлением

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике