Dr. Web: Android-троян распространялся под видом рассылки от службы Avito.ru

Как  сообщили  эксперты из компании Dr. Web, мошенники распространяют троян для Android под видом рассылки от популярной службы бесплатных объявлений Avito.ru. Стоит отметить, что жертвами мошенников становились преимущественно действительные клиенты Avito.ru.

Пользователи, размещавшие на сайте объявления, получали SMS-сообщение о якобы появившемся отклике на них, и для того, чтобы ознакомиться с ним, необходимо пройти по указанной ссылке. Сделав это, они перенаправлялись на вредоносный сайт, с которого на их устройство загружался троян, представляющий собой SMS-бота, определяемый Dr. Web как Android.SmsSpy.88.origin. После загрузки и установки он запрашивал права администратора и удалял иконку с главного экрана ОС.

Далее троян отправлял злоумышленникам SMS-сообщения с указанием модели устройства и его производителя, IMEI-идентификатора, данных об операторе и мобильной платформе, и ожидал дальнейших команд от C&C-сервера.

Благодаря вредоносному ПО хакеры могли запускать или останавливать сервис по перехвату входящих SMS-сообщений, отправлять короткие сообщения с заданным текстом на указанный номер, осуществлять вызовы, а также рассылать SMS-сообщения по всем контактам, имеющимся в телефоне. По словам экспертов, главной особенностью трояна является возможность переадресации вызова на определенный номер. Таким образом они могли получить контроль над всеми входящими звонками.

Исследователи также обнаружили модификации трояна Android.SmsSpy.15, Android.SmsSpy.17 и Android.SmsSpy.21. По их данным, это вредоносное ПО инфицировало системы 2300 пользователей.