Мобильный троянец Swearing был изначально обнаружен специалистами Tencent Security, которые установили, что малварь способна похищать банковские учетные данные пользователей Android, а также другую конфиденциальную информацию. Вредонос может обходить двухфакторную аутентификацию, подменяя оригинальное приложение для работы с SMS-сообщениями, что позволяет ему перехватывать одноразовые коды банков.
Теперь специалисты компании Check Point сообщают, что невзирая на серию арестов, имевших место в прошлом году, Swearing по-прежнему остается в строю. Очевидно, власти не сумели поймать всех операторов малвари.
В настоящий момент троян распространяется двумя способами. Первый вполне обычен: дроппер загружает на устройство вредоносный пейлоад и устанавливает Swearing. А вот второй способ весьма оригинален. Атакующие используют для распространения малвари фальшивые базовые приемопередающие GSM станции (base transceiver station), которые рассылают пользователям фишинговые SMS-сообщения.
Послания замаскированы под сообщения от крупнейших китайских телекоммуникационных провайдеров China Mobile и China Unicom. В поддельных SMS-сообщениях содержатся ссылки на вредоносное APK. Так как на территории Китая Google Play Store недоступен, пользователи привыкли загружать приложения из сторонних, недоверенных источников. Такие сообщения не вызывают у них подозрений.
Как только Swearing заразил устройство, он начинает рассылать фишинговые SMS всем контактам жертвы. Сообщения содержат самые разные «приманки»: пользователям предлагают скачать рабочие документы, посмотреть фотографии с какого-то мероприятия, получить доказательства измены супруги или супруга, или даже установить критическое обновление.
Исследователи Check Point пишут, что изначальная вредоносная кампания прошлого года задействовала только почтовые адреса на 21cn.com, но теперь злоумышленники также используют другие популярные в Китае сервисы (163.com, sina.cn и qq.com). При этом троян не общается с управляющими серверами, вместо этого он передает похищенные данные через SMS- или email-сообщения. Специалисты отмечают, что операторы Swearing надежно скрывают свои каналы коммуникаций и пресекают все попытки отслеживания их активности.
Аналитики Check Point предупреждают, что методы Swearing в самом скором времени могут взять на вооружение операторы западной малвари. Особенно это касается фальшивых базовых приемопередающих станций.
Фото: Depositphotos