Исследователи по безопасности столкнулись с новым трояном для Android,
который отправляет SMS-сообщения по платным номерам. Он появился одновременно с
вероятной новой модификацией знаменитого Zeus для Android.
Известный под именем HippoSMS, новый троян отличается тем, что автоматически
отправляет SMS на платные телефонные номера и не допускает предупредительных
сообщений о расходах, которые ожидают пользователей – именно это выяснили
исследователи Государственного университета Северной Каролины 10 июля.
Исследователи нашли HippoSMS в Китае на альтернативном Android Market. Пока
неизвестно, появился ли троян в официальном магазине.
HippoSMS встроен в приложение, там его нашли исследователи, и активируется
сразу после установке на устройстве, работающем на Android.
"Наше исследование показывает, что HippoSMS активируется вместе с
приложением", - написал Ксуксиан Джинг, ассистент профессора кафедры
компьютерных наук. Затем вирус отслеживает входящие SMS и удаляет все, что
отправлено провайдерами мобильных сервисов. Провайдеры обычно отправляют
уведомительные сообщения, касающиеся пользовательских аккаунтов (к примеру,
информацию о текущем балансе). Удаляя сообщения, троян таким образом скрывает
информацию о расходах пользователя до момента получения конечного счета.
Но HippSMS ограничен, поскольку он "работает" только с пользователями в Китае
и отправляет SMS только на определенные номера. Подобного рода вирусы, которые
рассылают сообщения на элитные номера, распространены в России, Китае и Украине,
говорит Денис Масленников, главный аналитик вирусного ПО в Kaspersky Lab.
Исследователи Fortinet в свою очередь заявили, что недавно обнаружили вирус,
который создали разработчики Zeus. Вредоносное приложение, замаскированное под
банковский инструмент Trusteer Rapport для Android, распространялось с помощью
веб-сервера, который в свое время запустил Zbot, вариант Zeus для мобильных
телефонов. Приложение использует украденную у Rapport иконку и перехватывает все
полученные на устройство SMS. Сообщения шифруются и перенаправляются на другой
сервер. Несмотря на возможности и веб-сервер, определить, является ли троян
частью Zeus сложно, поскольку его исполнение несложное, сообщил главный
исследователь вредоносного ПО в SophosLabs. Так, адреса серверов были прямо
прописаны в коде и это делает троян "негибким".
"Мы не можем быть уверены на 100%, что этот троян является частью Zeus", -
сказал Свайсер. Поддельное приложение Trusteer Rapport "не вписывается в
концепцию Zeus", сказал Роэль Шауэнберг, старший исследователь вирусов в
Kaspersky Lab. Zeus был очень эффективным, а данный вирус, который блокирует все
текстовые сообщения, не вписывается в профиль Zeus, поскольку преступникам нужно
просмотреть множество сообщений в поисках нужного (содержащего банковские
данные). Если бы разработчики Zeus создали данный вирус, они бы "сгладили"
острые углы, сказал он.
Есть несколько вариантов Zeus для Symbian, Windows Mobile и Blackberry. Одна
из его характеристик – способность перехватывать SMS, отправляемые финансовыми
организациями, для получения данных для входа в аккаунты порталов
онлайн-банкинга.
