Експерти з безпеки компанії Dr. Web знайшли нову шкідливу програму для платформи Android, здатну перехоплювати вхідні SMS-повідомлення і перенаправляти їх зловмисникам.

Даний вірус є другим відомим представником сімейства Android.Pincer – оновлене зловмисне поширюється під виглядом сертифіката безпеки, який нібито потрібно встановити на мобільний Android-пристрій.

У разі інсталяції шкідливої ​​програми, Android.Pincer.2.origin відобразить неправдиве повідомлення про успішно встановленні сертифіката, після чого якийсь час буде неактивним.

Для того щоб завантажуватися з ОС, вірус реєструє CheckCommandServices – системний сервіс, який надалі працює в якості фонової служби.

Після вдалого включення зараженого мобільного пристрою вірус підключається до віддаленого сервера зловмисників і завантажує на нього ряд відомостей про мобільний пристрій, серед яких назва моделі, серійний номер пристрою, IMEI-ідентифікатор, назва оператора зв’язку, що використовується, номер стільникового телефону, мову, що використовується за замовчанням в системі і т.п.

Для того щоб зробити які-небудь дії, програма очікує SMS-повідомлення з текстом «command: [назва команди]». У повідомленні вже містяться відповідні вказівки. У Dr. Web стверджують, що зловмисники передбачили наступні директиви:

• start_sms_forwarding [номер телефону] – почати перехоплення повідомлень з зазначеного номеру;
• stop_sms_forwarding – завершити перехоплення повідомлень;
• send_sms [номер телефону і текст] – відправити СМС з вказаними параметрами;
• simple_execute_ussd – виконати USSD-запит;
• stop_program – припинити роботу;
• show_message – вивести повідомлення на екран мобільного пристрою;
• set_urls – змінити адресу керуючого сервера;
• ping – відправити СМС з текстом pong на заздалегідь зазначений номер;
• set_sms_number – змінити номер, на який пішов повідомлення з текстом pong.

Джерело SecurityLab