Как стало известно, в очередной раз зафиксировано распространение новой угрозы для мобильной операционной системы Android, в классификации Dr.Web получившей наименование Android.SpyEye.1. Данная угроза является модификацией известного троянца-шпиона SpyEye для ОС Android. Как утверждают эусперты, риску заражения вредоносной программой Android.SpyEye.1 подвержены в первую очередь пользователи, компьютеры которых уже инфицированы троянской программой SpyEye. При обращении к различным банковским сайтам, адреса которых присутствуют в конфигурационном файле троянца, в просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, которое может включать различный текст или веб-формы. Таким образом, ничего не подозревающая жертва открывает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее открыт счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе «Банк-Клиент». Для этого он должен установить на свой мобильный телефон специальное приложение, которое якобы защитит его от перехвата СМС-сообщений. Ниже на просматриваемой пользователем странице приводится ссылка на эту программу, распространяемую под именем simseg.apk. Размер вредоносной программы составляет порядка 20 Кбайт. После загрузки и инсталляции на мобильном устройстве данное приложение не отображается в списке установленных программ: для того чтобы его отыскать, пользователю придется перейти в системный апплет «Настройки», открыть раздел «Приложения» и выбрать опцию «Управление приложениями». Вредоносная программа скрывается под значком «Система».

Далее, для того чтобы «активировать» данное приложение согласно предлагаемой злоумышленниками инструкции, пользователь должен выполнить со своего устройства телефонный звонок на номер 325000. Android.SpyEye.1 перехватывает этот звонок и демонстрирует на экране мобильного устройства «код активации», который якобы потребуется ввести на банковском сайте впоследствии — этот код всегда один и тот же и представляет собой число 251340.

После этого все получаемые владельцем инфицированного устройства входящие СМС-сообщения будут перехватываться троянцем и перенаправляться злоумышленникам. Android.SpyEye.1 использует специальный конфигурационный файл в формате XML, с помощью которого он определяет адреса командного центра. Android.SpyEye.1 может представлять опасность для владельцев мобильных устройств, поскольку способен передавать в руки вирусописателей конфиденциальную информацию.


Но помимо специалистов компании Dr.Web, об обнаружении новой модификации зловреда для Android, так же сообщили вирусные аналитики из компании Trusteer. Последние также рассказали, что новый вирус способен перехватывать данные о системах онлайн-банкинга в смартфонах на базе операционной системы Android. По заявлению экспертом, новый SpyEye стал намного опаснее и имеет в своем распоряжении новые механизмы для перехвата данных с двухфакторных систем аутентификации, которые работают через Интернет и через SMS-сообщения. Помимо хищения конфиденциальной информации, которую банк отправляет пользователю через SMS-сообщения, новая вредоносная программа также предлагает жертвам приобрести операционную систему Android, что в свою очередь позволит мошенникам похитить платежные реквизиты пользователей. Впервые троян SpyEye был зафиксирован в Испании 26 июля 2011 года. В то время вредоносная программа перехватывала данные о системах онлайн-банкинга небольшого количества испанских банков. Новая версия SpyEye предоставляет злоумышленникам полноценный набор для кражи реквизитов для банковских онлайн-систем. Первая версия нацелена на системы ПК, вторая – на мобильные операционные системы.