Експерти з безпеки компанії Dr. Web знайшли нову шкідливу програму для платформи Android, здатну перехоплювати вхідні SMS-повідомлення і перенаправляти їх зловмисникам.
Даний вірус є другим відомим представником сімейства Android.Pincer – оновлене зловмисне поширюється під виглядом сертифіката безпеки, який нібито потрібно встановити на мобільний Android-пристрій.
У разі інсталяції шкідливої програми, Android.Pincer.2.origin відобразить неправдиве повідомлення про успішно встановленні сертифіката, після чого якийсь час буде неактивним.
Для того щоб завантажуватися з ОС, вірус реєструє CheckCommandServices – системний сервіс, який надалі працює в якості фонової служби.
Після вдалого включення зараженого мобільного пристрою вірус підключається до віддаленого сервера зловмисників і завантажує на нього ряд відомостей про мобільний пристрій, серед яких назва моделі, серійний номер пристрою, IMEI-ідентифікатор, назва оператора зв’язку, що використовується, номер стільникового телефону, мову, що використовується за замовчанням в системі і т.п.
Для того щоб зробити які-небудь дії, програма очікує SMS-повідомлення з текстом «command: [назва команди]». У повідомленні вже містяться відповідні вказівки. У Dr. Web стверджують, що зловмисники передбачили наступні директиви:
- start_sms_forwarding [номер телефону] – почати перехоплення повідомлень з зазначеного номеру;
- stop_sms_forwarding – завершити перехоплення повідомлень;
- send_sms [номер телефону і текст] – відправити СМС з вказаними параметрами;
- simple_execute_ussd – виконати USSD-запит;
- stop_program – припинити роботу;
- show_message – вивести повідомлення на екран мобільного пристрою;
- set_urls – змінити адресу керуючого сервера;
- ping – відправити СМС з текстом pong на заздалегідь зазначений номер;
- set_sms_number – змінити номер, на який пішов повідомлення з текстом pong.
Джерело SecurityLab