Специалисты Trend Micro сообщили о вредоносной деятельности вируса SmsSecurity, который выдает себя за инструмент для быстрой генерации одноразовых паролей. Однако вместо этого утилита похищает информацию из банковских клиентов, а также использует функционал TeamViewer QuickSupport для взлома устройства пользователя.

Эксперты пишут, что SmsSecurity основан на приложении ANDROIDOS_FAKEBANK.OPSA, которое уже более двух лет используется злоумышленниками в рамках масштабной кампании Operation Emmental. В 2016 году операторы вредоносной программы проявили активность в январе – тогда вредоносный модуль также был замаскирован под обычный генератор одноразовых паролей. Затем активность была зафиксирована в мае. На этот раз схема была более хитрой: утилита научилась блокировать устройство потенциальной жертвы перед кражей денежных средств со счета.

Анализ последней версии ANDROIDOS_FAKEBANK.OPSA показал, что злоумышленники вернулись к схеме, которая была использована в январе 2016 года: вирус просто маскируется под генератор паролей, скрытно похищая учетные данные. Также появились защитные механизмы: перед началом вредоносной активности программа проверяет файл Build.prop, чтобы убедиться, что запуск не произведен в виртуальной среде.

В отличие от другого вредоносного приложения, SmsSecurity не использует навязчивые просьбы предоставить root-права. Используется более хитрая схема – вирус просит пользователя активировать специальные возможности Android, что позволяет симулировать действия пользователя и самостоятельно повысить привилегии. Впервые о таком алгоритме взлома написали исследователи Symantec весной 2016 года, которые также спрогнозировали, что злоумышленники в ближайшее время начнут его использовать.

Как уже упоминалось, SmsSecurity не ограничивается кражей учетных данных. Приложение также загружает и инсталлирует на устройство программу TeamViewer QuickSupport. Права администратора позволяют вредоносной программе инициировать запуск сессии TeamViewer и передать на управляющий сервер локальный ID. Это позволяет злоумышленникам напрямую подключиться к атакованному устройству.