К выводу о том, что атака ориентирована преимущественно на пользователей из РФ, эксперты пришли, проанализировав ее детали.
Во-первых, троянец, получивший название OpFake, маскируется под обновление Opera Mini – одного из самых популярных в России мобильных браузеров. Во-вторых, большинство обнаруженных специалистами образцов вредоносного ПО предназначены для установки на ОС Symbian, на которой работают популярные в России телефоны Nokia.
В-третьих, для монетизации своей преступной деятельности мошенники используют платные короткие номера, что является отличительной чертой именно российского рынка киберпреступности. Специалисты также утверждают, что сервер, с которого осуществляется загрузка вредоносных программ, находится в Санкт-Петербурге.
В техническом плане в том, как действует троянец, нового немного: попав в телефон, троянская программа предлагает установить важное обновление. Если пользователь выражает согласие нажатием соответствующей кнопки, ему демонстрируется изображение, отображающее ход установки, но никакой установки не происходит – вместо этого система тайно отсылает SMS на платные номера.
Помимо отсылки SMS, программа управляет папкой SMS-сообщений телефона: удаляет входящие сообщения и сообщения из папки "отправленные", - то есть делает все, чтобы владелец телефона максимально долго не знал о том, что с его счета исчезают деньги.
Необычным, по мнению специалистов, является тот факт, что обнаруженные им троянцы используют код мобильного банковского троянца Spitmo. Обычно Spitmo используется хакерами в паре с известным банковским троянцем SpyEye. В этих случаях Spitmo отвечает за обход системы двухфакторной аутентификации, которые используют многие системы дистанционного банковского обслуживания для того, чтобы обезопасить банковские операции своих клиентов, осуществляемые в интернете.
Однако в случае с OpFake, функционал Spitmo, связанный с управлением папками SMS в зараженном смартфоне, используется как основное орудие нечестного заработка хакеров.
Всего специалисты F-Secure обнаружили 54 модификации OpFake, использующие код Spitmo. Вероятно, в будущем их количество возрастет: хакеры создают разные версии своих вредоносных программ, в том числе для того, чтобы затруднить их обнаружение антивирусами.
Чтобы не стать жертвой хакеров, специалисты советуют устанавливать обновления программ только из доверенных источников: например, официальных сайтов производителей ПО, передает РИА Новости.
