Эксперты Dr. Web обнаружили очередную вредоносную программу для платформы Android. Вирус умеет перехватывать входящие SMS-сообщения, и перенаправлять их злоумышленникам.
Вирус, принадлежащий семейству Android.Pincer, очевидно, написан какими-то особо любопытными хакерами. В частности, попав на телефон, он начинает перехватывать SMS-сообщения, и пересылать их своим создателям.
Для загрузки в операционную систему телефона вирус регистрирует системный сервис CheckCommandServices – в дальнейшем он работает в качестве фоновой службы. Он распространяется под видом сертификата безопасности, который якобы необходимо установить на мобильное Android-устройство.
Запущенный процесс CheckCommandServices - верный признак вируса
Если пользователь установит вредоносную программу, вирус продемонстрирует пользователю ложное сообщение об успешной установке сертификата, после чего какое-то время будет неактивным.
После активации вирус подключается к серверу злоумышленников и загружает на него ряд сведений о мобильном устройстве – название модели, серийный номер, IMEI-идентификатор, название используемого оператора связи, номер сотового телефона, язык, использующийся по умолчанию в системе и так далее.
Чтобы совершить какое-либо действие программа будет ждать от своих создателей SMS с текстом «command: [название команды]». Это сообщение «отдаст приказ» вирусу.
Среди предусмотренных авторами Android.Pincer команд – перехват сообщений и их пересылка по тому или иному адресу, отправление SMS с указанными параметрами, вывод сообщений на экран мобильного устройства и другие. Кроме того, троянец можно настроить на перехват сообщений, поступающих с конкретных номеров.