Nowo odkryte mobilne złośliwe oprogramowanie może zwiększyć rachunki telefoniczne ofiar, jak ujawnili specjaliści z firmy Avast ds. cyberbezpieczeństwa.

Firma antywirusowa wykryła niedawno unikalne złośliwe oprogramowanie SMSFactory dystrybuowane wśród jej brazylijskich klientów, a użytkownicy mobilni z Rosji, Ukrainy, Turcji i Argentyny również znaleźli się na celowniku.

SMSFactory wyrządza szkody, nakazując smartfonowi z Androidem wysyłanie połączeń telefonicznych i wiadomości tekstowych na numery o podwyższonej opłacie. Jest dystrybuowany za pośrednictwem nieoficjalnych kanałów, co oznacza, że ​​nie znajdziesz SMSFactory w Sklepie Play, ale znajdziesz go w APKMods i PaidAPKFree, dwóch repozytoriach aplikacji mobilnych z wątpliwymi zasadami. Avast twierdzi również, że osoby atakujące promują aplikację za pomocą złośliwych reklam, powiadomień push, różnych wyskakujących okienek i witryn promocyjnych, filmów itp.

Wśród różnych uprawnień wymaganych przez aplikację, badacze znaleźli również pozwolenie na dostęp do listy kontaktów (otwiera się w nowej karcie), więc jest bardzo prawdopodobne, że używa listy do dalszego rozszerzania swojego zasięgu. Inne wymagane uprawnienia obejmują dane o lokalizacji, uprawnienia do wykonywania połączeń telefonicznych, wysyłania i czytania wiadomości tekstowych, blokowania i wibracji, zarządzania nakładką, korzystania z pełnego ekranu, śledzenia powiadomień i uruchamiania różnych działań w tle.

Jeśli te uprawnienia nie były wystarczająco duże, aby być czerwoną flagą, urządzenie z Androidem uruchomi również ostrzeżenie podczas instalacji, informując potencjalną ofiarę, że aplikacja jest niebezpieczna. Jednak wydaje się, że wielu przymyka oko na ostrzeżenia, ponieważ aplikacja ma „dziesiątki tysięcy” instalacji, powiedział Avast.

Po zainstalowaniu aplikacja wyświetli komunikat informujący, że nie działa lub że usługa jest niedostępna. Ponieważ ukrywa swoją nazwę i ikonę, wielu użytkownikom trudno jest ją usunąć lub najwyraźniej zapomina, że ​​coś zainstalowali.

Jednak aplikacja nadal działa w tle, utrzymując połączenie z serwerem C2 i wysyłając profil identyfikacyjny zainfekowanego terminala.

Przez: BleepingComputer (Otwiera się w nowej karcie)

Udostępnij to