- Registrado
- 11 Nov 2010
- Mensajes
- 204
- Puntuación de reacción
- 8
- Puntos
- 38
- Edad
- 65
- Sitio web
- www.iks-info.narod2.ru
Doctor Web, un desarrollador ruso de herramientas de seguridad de la información, anunció la aparición de una nueva versión del espía Android.SpyEye, diseñada para interceptar mensajes SMS entrantes de usuarios de dispositivos móviles por parte de ciberdelincuentes.
La nueva versión del troyano, agregada a las bases de datos de virus como Android.SpyEye.2.origin, se distribuye bajo la apariencia de la aplicación de seguridad Android Security Suite Premium y tiene el icono correspondiente. Después de iniciar el programa, la imagen del escudo y algunos códigos de activación también se muestran en la pantalla del dispositivo móvil.
Hace unos días, algunos expertos ya informaron sobre este troyano, pero los especialistas de Doctor Web lograron estudiar sus características con más detalle. Android.SpyEye.2.origin es un representante de los troyanos de spyware, cuyo objetivo principal es obtener acceso a los mensajes SMS recibidos en el número de teléfono móvil de un usuario desde los sistemas bancarios al realizar una serie de transacciones financieras. Dichos mensajes contienen un código de una sola vez (el llamado código mTAN), que el usuario debe ingresar en un formulario especial para confirmar la ejecución de la transacción de dinero, dijo la compañía.
El troyano supervisa varios eventos del sistema: SMS_RECEIVED (recibe un nuevo mensaje SMS), NEW_OUTGOING_CALL (llamada saliente desde un dispositivo móvil) y BOOT_COMPLETED (carga del sistema operativo).
Los cibercriminales también tienen la capacidad de controlar el troyano de forma remota de una determinada manera. Cuando llega un nuevo mensaje, Android.SpyEye.2.origin comprueba si el texto contiene un comando destinado a él. Si es así, el malware lo ejecuta y el mensaje mismo se elimina.
Como los especialistas de Doctor Web lograron descubrir, los atacantes pueden usar varias funciones: activación del modo operativo, en el que el troyano envía todos los SMS entrantes al número especificado, mientras que el número objetivo se indica en el mensaje de comando; desactivación de este modo; comando para eliminar el troyano. Si el comando de control no está incluido en el mensaje entrante, la información sobre él se agrega a una base de datos especial.
Al detectar una llamada saliente, así como después de cargar el sistema operativo, el troyano espera 180 segundos, luego de lo cual coloca información sobre el último mensaje SMS entrante en la misma base de datos. Si la adición de esta información a la base de datos se realizó anteriormente, los datos disponibles se cargan en el servidor del atacante.
También debe tenerse en cuenta que después de procesar los SMS entrantes, el troyano envía información sobre el número de teléfono móvil y el identificador del dispositivo infectado al servidor que pertenece a los atacantes. Por lo tanto, además de la información de valor financiero directo (códigos mTAN), otros datos importantes, por ejemplo, parte de la correspondencia personal de la víctima, pueden caer en manos de los atacantes.
https://myphone.mirtesen.ru/blog/4334508 ... 3345083881
La nueva versión del troyano, agregada a las bases de datos de virus como Android.SpyEye.2.origin, se distribuye bajo la apariencia de la aplicación de seguridad Android Security Suite Premium y tiene el icono correspondiente. Después de iniciar el programa, la imagen del escudo y algunos códigos de activación también se muestran en la pantalla del dispositivo móvil.
Hace unos días, algunos expertos ya informaron sobre este troyano, pero los especialistas de Doctor Web lograron estudiar sus características con más detalle. Android.SpyEye.2.origin es un representante de los troyanos de spyware, cuyo objetivo principal es obtener acceso a los mensajes SMS recibidos en el número de teléfono móvil de un usuario desde los sistemas bancarios al realizar una serie de transacciones financieras. Dichos mensajes contienen un código de una sola vez (el llamado código mTAN), que el usuario debe ingresar en un formulario especial para confirmar la ejecución de la transacción de dinero, dijo la compañía.
El troyano supervisa varios eventos del sistema: SMS_RECEIVED (recibe un nuevo mensaje SMS), NEW_OUTGOING_CALL (llamada saliente desde un dispositivo móvil) y BOOT_COMPLETED (carga del sistema operativo).
Los cibercriminales también tienen la capacidad de controlar el troyano de forma remota de una determinada manera. Cuando llega un nuevo mensaje, Android.SpyEye.2.origin comprueba si el texto contiene un comando destinado a él. Si es así, el malware lo ejecuta y el mensaje mismo se elimina.
Como los especialistas de Doctor Web lograron descubrir, los atacantes pueden usar varias funciones: activación del modo operativo, en el que el troyano envía todos los SMS entrantes al número especificado, mientras que el número objetivo se indica en el mensaje de comando; desactivación de este modo; comando para eliminar el troyano. Si el comando de control no está incluido en el mensaje entrante, la información sobre él se agrega a una base de datos especial.
Al detectar una llamada saliente, así como después de cargar el sistema operativo, el troyano espera 180 segundos, luego de lo cual coloca información sobre el último mensaje SMS entrante en la misma base de datos. Si la adición de esta información a la base de datos se realizó anteriormente, los datos disponibles se cargan en el servidor del atacante.
También debe tenerse en cuenta que después de procesar los SMS entrantes, el troyano envía información sobre el número de teléfono móvil y el identificador del dispositivo infectado al servidor que pertenece a los atacantes. Por lo tanto, además de la información de valor financiero directo (códigos mTAN), otros datos importantes, por ejemplo, parte de la correspondencia personal de la víctima, pueden caer en manos de los atacantes.
https://myphone.mirtesen.ru/blog/4334508 ... 3345083881
Original message
Компания «Доктор Веб» — российский разработчик средств информационной безопасности — сообщил о появлении новой версии шпиона Android.SpyEye, предназначенного для перехвата злоумышленниками входящих SMS-сообщений пользователей мобильных устройств.
Новая версия трояна, добавленная в вирусные базы как Android.SpyEye.2.origin, распространяется под видом защитного приложения Android Security Suite Premium и имеет соответствующую иконку. После запуска программы на экране мобильного устройства также отображается образ щита и некий код активации.
Несколько дней назад некоторые эксперты уже информировали об этом трояне, но специалистам «Доктор Веб» удалось более детально изучить его особенности. Android.SpyEye.2.origin является представителем троянов-шпионов, главная цель которых — получить доступ к SMS-сообщениям, поступающим на мобильный номер пользователя от банковских систем при выполнении ряда финансовых операций. В таких сообщениях содержится одноразовый код (так называемый mTAN-код), который пользователь должен ввести в специальную форму, чтобы подтвердить выполнение денежной транзакции, говорится в сообщении компании.
Троян отслеживает несколько системных событий: SMS_RECEIVED (получение нового SMS-сообщения), NEW_OUTGOING_CALL (исходящий с мобильного устройства звонок) и BOOT_COMPLETED (загрузка операционной системы).
Киберпреступники также имеют возможность определенным образом контролировать трояна удаленно. При поступлении нового сообщения Android.SpyEye.2.origin проверяет, содержится ли в тексте предназначенная для него команда. Если это так, вредоносная программа выполняет ее, а само сообщение удаляет.
Как удалось выяснить специалистам «Доктор Веб», злоумышленники могут задействовать несколько функций: активацию режима работы, при котором троян отправляет все вновь поступающие SMS на заданный номер, при этом целевой номер указывается в командном сообщении; деактивацию этого режима; команду на удаление трояна. Если управляющая команда во входящем сообщении отсутствует, информация о нем добавляется в специальную базу данных.
При обнаружении исходящего вызова, а также после загрузки операционной системы троян ждет 180 секунд, после чего помещает в ту же базу данных сведения о последнем входящем SMS-сообщении. Если же добавление этих сведений в базу было сделано ранее, то имеющиеся данные загружаются на сервер злоумышленников.
Следует также отметить, что после обработки поступающего SMS троян отправляет на принадлежащий злоумышленникам сервер информацию о номере мобильного телефона и идентификатор инфицированного устройства. Таким образом, помимо сведений, представляющих непосредственную финансовую ценность (mTAN-коды), в руки злоумышленников могут попасть и другие важные данные, например часть личной переписки жертвы.
https://myphone.mirtesen.ru/blog/4334508 ... 3345083881
Новая версия трояна, добавленная в вирусные базы как Android.SpyEye.2.origin, распространяется под видом защитного приложения Android Security Suite Premium и имеет соответствующую иконку. После запуска программы на экране мобильного устройства также отображается образ щита и некий код активации.
Несколько дней назад некоторые эксперты уже информировали об этом трояне, но специалистам «Доктор Веб» удалось более детально изучить его особенности. Android.SpyEye.2.origin является представителем троянов-шпионов, главная цель которых — получить доступ к SMS-сообщениям, поступающим на мобильный номер пользователя от банковских систем при выполнении ряда финансовых операций. В таких сообщениях содержится одноразовый код (так называемый mTAN-код), который пользователь должен ввести в специальную форму, чтобы подтвердить выполнение денежной транзакции, говорится в сообщении компании.
Троян отслеживает несколько системных событий: SMS_RECEIVED (получение нового SMS-сообщения), NEW_OUTGOING_CALL (исходящий с мобильного устройства звонок) и BOOT_COMPLETED (загрузка операционной системы).
Киберпреступники также имеют возможность определенным образом контролировать трояна удаленно. При поступлении нового сообщения Android.SpyEye.2.origin проверяет, содержится ли в тексте предназначенная для него команда. Если это так, вредоносная программа выполняет ее, а само сообщение удаляет.
Как удалось выяснить специалистам «Доктор Веб», злоумышленники могут задействовать несколько функций: активацию режима работы, при котором троян отправляет все вновь поступающие SMS на заданный номер, при этом целевой номер указывается в командном сообщении; деактивацию этого режима; команду на удаление трояна. Если управляющая команда во входящем сообщении отсутствует, информация о нем добавляется в специальную базу данных.
При обнаружении исходящего вызова, а также после загрузки операционной системы троян ждет 180 секунд, после чего помещает в ту же базу данных сведения о последнем входящем SMS-сообщении. Если же добавление этих сведений в базу было сделано ранее, то имеющиеся данные загружаются на сервер злоумышленников.
Следует также отметить, что после обработки поступающего SMS троян отправляет на принадлежащий злоумышленникам сервер информацию о номере мобильного телефона и идентификатор инфицированного устройства. Таким образом, помимо сведений, представляющих непосредственную финансовую ценность (mTAN-коды), в руки злоумышленников могут попасть и другие важные данные, например часть личной переписки жертвы.
https://myphone.mirtesen.ru/blog/4334508 ... 3345083881
: P 
