SmsSpy Вредоносное ПО

Smishing-кампания, проводимая хакерской группой Roaming Mantis, все еще развивается. Основными целями операции были пользователи из азиатских стран, но теперь хакеры развернули новую вредоносную программу под названием SmsSpy, которая предназначена специально для заражения японских пользователей. Основная цель штамма вредоносного ПО - сбор телефонных номеров и SMS-сообщений со скомпрометированных Android-устройств. Угроза способна развертывать две разные версии, в зависимости от версии ОС Android пользователя, что приводит к значительному увеличению потенциальных жертв.

Начальный вектор компромисса

Атака начинается с фишинговых SMS-сообщений, которые приводят пользователей на поврежденную веб-страницу. Точный текст фальшивого сообщения может отличаться, так как киберпреступники могут выдать себя за логистическую компанию, которой требуется подтверждение от пользователя для некоторых услуг. В другом сценарии пользователей якобы предупреждают о проблемах с их учетной записью биткойнов, и им предлагается перейти по предоставленной ссылке, чтобы проверить свои данные для входа.

Затем фишинговая страница проверит версию Android устройства пользователя, чтобы определить следующие шаги атаки. На устройствах под управлением Android OS 10 или более поздней версии вредоносная программа будет развернута как поддельное приложение Google Play. Для устройств, использующих Android 9 или более раннюю версию, вместо этого будет загружено поддельное приложение Chrome.

Угрожающая функциональность SmsSpy

После установки вредоносное приложение запросит установку в качестве приложения для обмена сообщениями по умолчанию для устройства, чтобы получить доступ к контактам и SMS-сообщениям жертвы. Экран уведомлений, отображаемый для пользователя, соответствует версии загруженного приложения. Вариант Google Play представляет собой службу безопасности, которая предположительно будет обеспечивать защиту от вирусов, шпионского ПО, защиты от фишинга и спама. Что касается поддельного приложения Chrome, оно предупреждает пользователей, что отказ от его запросов на разрешения может привести к тому, что приложение не сможет запуститься или ограничит его функции.

После этого SmsSpy скроет свой значок и попытается установить связь со своим сервером Command-and-Control через соединение WebSocket. Адрес по умолчанию встроен в код вредоносной программы, но он также содержит информацию о ссылке, которая активируется всякий раз, когда необходимо обновить местоположение сервера C2. Серверы C2 обычно скрыты на странице профиля пользователя службы блогов, но также наблюдались примеры использования китайской службы онлайн-документов для той же цели.

Во время первоначального рукопожатия вредоносная программа SmsSpy отправляет системную информацию о зараженном устройстве, включая версию ОС Android, номер телефона, модель устройства, уникальный идентификатор устройства и тип подключения к Интернету. Затем угроза перейдет в режим прослушивания, где она будет бездействовать, ожидая входящих команд. Злоумышленники могут захватить всю книгу контактов и SMS-сообщения, отправить и удалить SMS-сообщения и многое другое.