Злоумышленники разослали пользователям Avito.ru SMS-спам, замаскированный под сообщение компании, со ссылкой на Android-троян. Об этом пишет Lenta.ru со ссылкой на "Доктор Веб", обнаружившего атаку.
Пользователь получал SMS-сообщение об отклике на свое реальное объявление, а ознакомиться с откликом предлагалось по указанной ссылке. При переходе на нее пользователи попадали на сайт злоумышленников, с которого загружался троян Android.SmsSpy.88.origin.
Троян передает в SMS-сообщении общие сведения о зараженном смартфоне - название, производителя, IMEI-идентификатор, сведения об операторе, используемая версия операционки. Затем он соединяется с удаленным сервером и ждет от него команд, например, на запуск или остановку сервиса по перехвату входящих SMS, отправку коротких сообщений с заданным текстом на указанный номер, осуществление вызовов, рассылку SMS-сообщений по всем контактам из телефонной книги.
Комментарий Roem.ru: Эльбрус Гасанов, директор "Из рук в руки", поясняет:
На самом деле, аудитории IRR и наших коллеги из Авито - это почти 100% аудитории Рунета, готовой к покупке/продаже, только небольшая часть еще не продавала/покупала что-либо через нас. Злоумышленники об этом знают, и наши порталы всегда были предметом атак и сканирований. Вероятность того, что пользователь что-то продавал или продает через нас на данный момент очень большая, поэтому отправить sms от имени IRR или Авито это почти 100% попадание в цель. Пользователь ждет сервисную sms от нас и готов сделать какие-нибудь действия после получения sms, это как sms от вашего банка о списании денег с вашего счета, вы не будете игнорировать такую sms. Поэтому злоумышленники маскируют свои действия под популярные сервисы.
Мы скрываем номера телефонов пользователей, вместо текста показываем картинку, это усложняет парсинг мобильных номеров пользователей, но все же не является 100% защитой.
От таких рассылок не застрахованы ни мы, ни Авито.
(Обновлено 06.05 9:50): Татьяна Стародубцева, пресс-секретаь "Авито" рассказала, что на данный момент компания проверяет информацию "Доктора Веб". "Если пользователи информируют нас о подобных случаях, мы делаем все возможное, чтобы оградить от неприятностей остальных".
Добавить 2 комментария
ИРР уже лет пять как умер, ваша доля 2% от общей аудитории! Вы сохранили один город и то только потому что он большой, и в нем даже туалетная бумага имеет долю и можно сказать это почти 100% жоп которые подтирались через нас. Эти рассылки существует очень давно, доктор веб когда уже совсем ничего в своем антивирусе придумать не могут, начинают постить апокалипсисы заявления, аля троян лок всез залочил, при условии что самая большая волна уже прошла года два назад. ИРР, очень стыдно так уныло пиариться! прям позорно и унизительно! всем же видно это явно скрытая реклама. Вы с Авито не 100%., Авито 100%, а о вас вообще никто не помнит.
Вообще конкретная рассылка, о которой они пишут, довольно свежая. Только у вируса помимо описанного (это вот скучно как раз) немного другой функционал — он при открытии Google Play показывает оверлей с запросом данных кредитки, такое давно не попадалось на глаза.