- Mitglied seit
- 11.11.2010
- Beiträge
- 204
- Punkte für Reaktionen
- 8
- Punkte
- 38
- Alter
- 65
- Website
- www.iks-info.narod2.ru
Doctor Web, ein russischer Entwickler von Informationssicherheitstools, kündigte das Erscheinen einer neuen Version des Spions Android.SpyEye an, mit dem eingehende SMS-Nachrichten von Benutzern mobiler Geräte von Cyberkriminellen abgefangen werden sollen.
Die neue Version des Trojaners, die als Android.SpyEye.2.origin zu den Virendatenbanken hinzugefügt wurde, wird unter dem Deckmantel der Sicherheitsanwendung Android Security Suite Premium vertrieben und verfügt über ein entsprechendes Symbol. Nach dem Starten des Programms werden das Schildbild und ein Aktivierungscode auch auf dem Bildschirm des Mobilgeräts angezeigt.
Einige Experten haben bereits vor einigen Tagen über diesen Trojaner informiert, aber die Spezialisten von Doctor Web haben es geschafft, seine Funktionen genauer zu untersuchen. Android.SpyEye.2.origin ist ein Vertreter von Spyware-Trojanern, deren Hauptzweck darin besteht, bei der Ausführung einer Reihe von Finanztransaktionen von Bankensystemen auf SMS-Nachrichten zuzugreifen, die auf der Handynummer eines Benutzers empfangen wurden. Solche Nachrichten enthalten einen einmaligen Code (den sogenannten mTAN-Code), den der Benutzer in einem speziellen Formular eingeben muss, um die Ausführung der Geldtransaktion zu bestätigen.
Der Trojaner überwacht mehrere Systemereignisse: SMS_RECEIVED (Empfang einer neuen SMS-Nachricht), NEW_OUTGOING_CALL (ausgehender Anruf von einem mobilen Gerät) und BOOT_COMPLETED (Laden des Betriebssystems).
Cyberkriminelle haben auch die Möglichkeit, den Trojaner auf bestimmte Weise fernzusteuern. Wenn eine neue Nachricht eintrifft, prüft Android.SpyEye.2.origin, ob der Text den dafür vorgesehenen Befehl enthält. In diesem Fall wird es von der Malware ausgeführt und die Nachricht selbst gelöscht.
Wie Doctor Web-Spezialisten herausgefunden haben, können Angreifer verschiedene Funktionen verwenden: Aktivierung des Betriebsmodus, in dem der Trojaner alle neu eingehenden SMS an die angegebene Nummer sendet, während die Zielnummer in der Befehlsnachricht angegeben ist; Deaktivierung dieses Modus; Befehl zum Entfernen des Trojaners. Wenn der Steuerbefehl nicht in der eingehenden Nachricht enthalten ist, werden Informationen dazu einer speziellen Datenbank hinzugefügt.
Bei Erkennung eines ausgehenden Anrufs sowie nach dem Laden des Betriebssystems wartet der Trojaner 180 Sekunden und speichert anschließend Informationen über die letzte eingehende SMS-Nachricht in derselben Datenbank. Wenn das Hinzufügen dieser Informationen zur Datenbank früher erfolgt ist, werden die verfügbaren Daten auf den Angreifer-Server hochgeladen.
Es ist auch zu beachten, dass der Trojaner nach der Verarbeitung der eingehenden SMS Informationen über die Mobiltelefonnummer und die Kennung des infizierten Geräts an den Server der Angreifer sendet. So können neben Informationen von direktem finanziellem Wert (mTAN-Codes) auch andere wichtige Daten, beispielsweise ein Teil der persönlichen Korrespondenz des Opfers, in die Hände von Angreifern fallen.
https://myphone.mirtesen.ru/blog/4334508 ... 3345083881
Die neue Version des Trojaners, die als Android.SpyEye.2.origin zu den Virendatenbanken hinzugefügt wurde, wird unter dem Deckmantel der Sicherheitsanwendung Android Security Suite Premium vertrieben und verfügt über ein entsprechendes Symbol. Nach dem Starten des Programms werden das Schildbild und ein Aktivierungscode auch auf dem Bildschirm des Mobilgeräts angezeigt.
Einige Experten haben bereits vor einigen Tagen über diesen Trojaner informiert, aber die Spezialisten von Doctor Web haben es geschafft, seine Funktionen genauer zu untersuchen. Android.SpyEye.2.origin ist ein Vertreter von Spyware-Trojanern, deren Hauptzweck darin besteht, bei der Ausführung einer Reihe von Finanztransaktionen von Bankensystemen auf SMS-Nachrichten zuzugreifen, die auf der Handynummer eines Benutzers empfangen wurden. Solche Nachrichten enthalten einen einmaligen Code (den sogenannten mTAN-Code), den der Benutzer in einem speziellen Formular eingeben muss, um die Ausführung der Geldtransaktion zu bestätigen.
Der Trojaner überwacht mehrere Systemereignisse: SMS_RECEIVED (Empfang einer neuen SMS-Nachricht), NEW_OUTGOING_CALL (ausgehender Anruf von einem mobilen Gerät) und BOOT_COMPLETED (Laden des Betriebssystems).
Cyberkriminelle haben auch die Möglichkeit, den Trojaner auf bestimmte Weise fernzusteuern. Wenn eine neue Nachricht eintrifft, prüft Android.SpyEye.2.origin, ob der Text den dafür vorgesehenen Befehl enthält. In diesem Fall wird es von der Malware ausgeführt und die Nachricht selbst gelöscht.
Wie Doctor Web-Spezialisten herausgefunden haben, können Angreifer verschiedene Funktionen verwenden: Aktivierung des Betriebsmodus, in dem der Trojaner alle neu eingehenden SMS an die angegebene Nummer sendet, während die Zielnummer in der Befehlsnachricht angegeben ist; Deaktivierung dieses Modus; Befehl zum Entfernen des Trojaners. Wenn der Steuerbefehl nicht in der eingehenden Nachricht enthalten ist, werden Informationen dazu einer speziellen Datenbank hinzugefügt.
Bei Erkennung eines ausgehenden Anrufs sowie nach dem Laden des Betriebssystems wartet der Trojaner 180 Sekunden und speichert anschließend Informationen über die letzte eingehende SMS-Nachricht in derselben Datenbank. Wenn das Hinzufügen dieser Informationen zur Datenbank früher erfolgt ist, werden die verfügbaren Daten auf den Angreifer-Server hochgeladen.
Es ist auch zu beachten, dass der Trojaner nach der Verarbeitung der eingehenden SMS Informationen über die Mobiltelefonnummer und die Kennung des infizierten Geräts an den Server der Angreifer sendet. So können neben Informationen von direktem finanziellem Wert (mTAN-Codes) auch andere wichtige Daten, beispielsweise ein Teil der persönlichen Korrespondenz des Opfers, in die Hände von Angreifern fallen.
https://myphone.mirtesen.ru/blog/4334508 ... 3345083881
Original message
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщил о появлении новой версии шпиона Android.SpyEye, предназначенного для перехвата злоумышленниками входящих SMS-сообщений пользователей мобильных устройств.
Новая версия трояна, добавленная в вирусные базы как Android.SpyEye.2.origin, распространяется под видом защитного приложения Android Security Suite Premium и имеет соответствующую иконку. После запуска программы на экране мобильного устройства также отображается образ щита и некий код активации.
Несколько дней назад некоторые эксперты уже информировали об этом трояне, но специалистам «Доктор Веб» удалось более детально изучить его особенности. Android.SpyEye.2.origin является представителем троянов-шпионов, главная цель которых — получить доступ к SMS-сообщениям, поступающим на мобильный номер пользователя от банковских систем при выполнении ряда финансовых операций. В таких сообщениях содержится одноразовый код (так называемый mTAN-код), который пользователь должен ввести в специальную форму, чтобы подтвердить выполнение денежной транзакции, говорится в сообщении компании.
Троян отслеживает несколько системных событий: SMS_RECEIVED (получение нового SMS-сообщения), NEW_OUTGOING_CALL (исходящий с мобильного устройства звонок) и BOOT_COMPLETED (загрузка операционной системы).
Киберпреступники также имеют возможность определенным образом контролировать трояна удаленно. При поступлении нового сообщения Android.SpyEye.2.origin проверяет, содержится ли в тексте предназначенная для него команда. Если это так, вредоносная программа выполняет ее, а само сообщение удаляет.
Как удалось выяснить специалистам «Доктор Веб», злоумышленники могут задействовать несколько функций: активацию режима работы, при котором троян отправляет все вновь поступающие SMS на заданный номер, при этом целевой номер указывается в командном сообщении; деактивацию этого режима; команду на удаление трояна. Если управляющая команда во входящем сообщении отсутствует, информация о нем добавляется в специальную базу данных.
При обнаружении исходящего вызова, а также после загрузки операционной системы троян ждет 180 секунд, после чего помещает в ту же базу данных сведения о последнем входящем SMS-сообщении. Если же добавление этих сведений в базу было сделано ранее, то имеющиеся данные загружаются на сервер злоумышленников.
Следует также отметить, что после обработки поступающего SMS троян отправляет на принадлежащий злоумышленникам сервер информацию о номере мобильного телефона и идентификатор инфицированного устройства. Таким образом, помимо сведений, представляющих непосредственную финансовую ценность (mTAN-коды), в руки злоумышленников могут попасть и другие важные данные, например часть личной переписки жертвы.
https://myphone.mirtesen.ru/blog/4334508 ... 3345083881
Новая версия трояна, добавленная в вирусные базы как Android.SpyEye.2.origin, распространяется под видом защитного приложения Android Security Suite Premium и имеет соответствующую иконку. После запуска программы на экране мобильного устройства также отображается образ щита и некий код активации.
Несколько дней назад некоторые эксперты уже информировали об этом трояне, но специалистам «Доктор Веб» удалось более детально изучить его особенности. Android.SpyEye.2.origin является представителем троянов-шпионов, главная цель которых — получить доступ к SMS-сообщениям, поступающим на мобильный номер пользователя от банковских систем при выполнении ряда финансовых операций. В таких сообщениях содержится одноразовый код (так называемый mTAN-код), который пользователь должен ввести в специальную форму, чтобы подтвердить выполнение денежной транзакции, говорится в сообщении компании.
Троян отслеживает несколько системных событий: SMS_RECEIVED (получение нового SMS-сообщения), NEW_OUTGOING_CALL (исходящий с мобильного устройства звонок) и BOOT_COMPLETED (загрузка операционной системы).
Киберпреступники также имеют возможность определенным образом контролировать трояна удаленно. При поступлении нового сообщения Android.SpyEye.2.origin проверяет, содержится ли в тексте предназначенная для него команда. Если это так, вредоносная программа выполняет ее, а само сообщение удаляет.
Как удалось выяснить специалистам «Доктор Веб», злоумышленники могут задействовать несколько функций: активацию режима работы, при котором троян отправляет все вновь поступающие SMS на заданный номер, при этом целевой номер указывается в командном сообщении; деактивацию этого режима; команду на удаление трояна. Если управляющая команда во входящем сообщении отсутствует, информация о нем добавляется в специальную базу данных.
При обнаружении исходящего вызова, а также после загрузки операционной системы троян ждет 180 секунд, после чего помещает в ту же базу данных сведения о последнем входящем SMS-сообщении. Если же добавление этих сведений в базу было сделано ранее, то имеющиеся данные загружаются на сервер злоумышленников.
Следует также отметить, что после обработки поступающего SMS троян отправляет на принадлежащий злоумышленникам сервер информацию о номере мобильного телефона и идентификатор инфицированного устройства. Таким образом, помимо сведений, представляющих непосредственную финансовую ценность (mTAN-коды), в руки злоумышленников могут попасть и другие важные данные, например часть личной переписки жертвы.
https://myphone.mirtesen.ru/blog/4334508 ... 3345083881
: P 
