Первый "российский" банковский троянец для Android и другие угрозы декабря: отчет компании "Доктор веб"

С точки зрения вирусной активности прошедший декабрь можно назвать достаточно спокойным. В последние предновогодние недели не было зафиксировано сколь-либо серьезных всплесков распространения вредоносного ПО, а незначительный рост объемов почтового спама является вполне естественным явлением в преддверии праздников. Об этом говорится в ежемесячном отчете о киберугрозах от компании «Доктор Веб».

Вирусные аналитики по-прежнему отмечают появление новых модификаций троянцев семейства Trojan.Mayachok, а также рост числа пострадавших от действий троянцев-кодировщиков. Но не обошелся месяц и без «сюрпризов»: так, в декабре был выявлен троянец семейства Trojan.SMSSend, «заточенный» под Mac OS X, а также обнаружен первый «российский» банковский троянец под Android.

Троянец Android.FakeSber.1.origin (по классификации Dr.Web) предназначен для перехвата информации из СМС-сообщений, поступающих от системы онлайн-банкинга Сбербанка России. Вредоносная программа находилась в официальном каталоге Google Play и распространялась по следующей схеме: потенциальная жертва, пытавшаяся воспользоваться услугами банка через веб-браузер, получала уведомление о необходимости авторизации по номеру мобильного телефона, для чего на мобильное устройство предлагалось установить специальное приложение. Это уведомление демонстрировалось на компьютерах, инфицированных одной из троянских программ семейства Trojan.Carberp, которые способны внедрять произвольный код в веб-страницы, меняя их содержимое. В случае если пользователи соглашались на установку Android-приложения, троянец имитировал ожидаемые ими функциии незаметно пересылал злоумышленникам все входящие СМС-сообщения. Также данная троянская программа умеет скрывать от пользователя входящие сообщения с определённых номеров, список которых могут задать киберпреступники с управляющего сервера.

Примечательно, что помимо программы с образом официального приложения от Сбербанка каталог Google Play содержал еще как минимум два приложения с теми же функциями, но под прикрытием других известных брендов, таких как «Альфа-Банк» и «ВКонтакте». Несмотря на то, что число пользователей, успевших установить троянца Android.FakeSber.1.origin до того, как он был удален из каталога Google Play, относительно невелико — от 100 до 200 человек, сам факт появления банковского троянца, направленного против российских пользователей Android, является тревожным сигналом. Вероятно, это была лишь первая попытка злоумышленников освоить новый для них теневой рынок, и в скором времени можно ожидать увеличения числа инцидентов с участием подобных вредоносных приложений.