Компания «Доктор Веб» обнаружила троян семейства Android.SmsBot, способный незаметно для владельцев смартфонов и планшетов отправлять SMS на дорогостоящие премиум-номера, опустошая счета пользователей Android. Зловред получил обозначение Android.SmsBot.459.origin.
Троян распространяется посредством SMS-спама. Потенциальной жертве приходит сообщение якобы от имени заинтересованного покупателя, откликнувшегося на размещённое ранее объявление о продаже чего-либо. В послании предлагается посетить некий веб-сайт для получения более подробной информации. В некоторых случаях для большей убедительности киберпреступники обращаются к пользователю по имени, что говорит о хорошо спланированной таргетированной атаке, в которой применяется специально сформированная база реально существующих объявлений. Если пользователь перейдёт по указанной в сообщении ссылке, на его устройство будет загружен apk-файл трояна.
Зловред маскируется под клиентское приложение популярного в России сервиса по размещению объявлений и имеет соответствующий значок. Сразу после запуска троян пытается получить доступ к функциям администратора мобильного устройства, чтобы в дальнейшем осложнить попытки своего удаления. Вредоносная программа фактически вынуждает пользователя предоставить ей нужные права: она препятствует нормальной работе с Android-смартфоном или планшетом, блокируя его экран постоянно демонстрируемым запросом.
Далее троян передаёт на управляющий сервер сведения о зараженном устройстве, включая его IMEI-идентификатор и информацию об операторе. Затем программа осуществляет проверку наличия подключенной к телефонному номеру жертвы услуги мобильного банка нескольких кредитных организаций и выполняет запрос текущего баланса абонентского счёта, а также баланса учётной записи одной из популярных в России платёжных систем.
Троян может отсылать SMS-сообщения c заданным текстом на указанный номер, выполнять USSD-запросы, перехватывать SMS и пр. При наличии денег на каком-либо из имеющихся счетов пользователя киберпреступники незаметно похищают их, отдав соответствующее указание вредоносному приложению.