Как сообщают исследователи Zscaler, новое вредоносное программное обеспечение изображает себя как файл данных со значком, подобным используемому документами Microsoft Word. Будучи установленным на Android-смартфон, вредоносное программное обеспечение сканирует устройство для поиска SMS и другой идентифицирующей персональной информации, такой как IMEI, количество SIM-карт, ID устройства, контактная информация жертвы и т. д., и отправляет всю найденную информацию атакующему по электронной почте.
Если жертва попытается открыть вредоносный файл, то получит сообщение о его несовместимости с телефоном, и значок просто исчезнет с экрана. Однако приложение продолжит свою работу в фоновом режиме, отыскивая информацию и запуская службы Android для извлечения соответствующих данных пользователя.
Кроме того, вредоносное программное обеспечение может посредством SMS получить команду запустить бесшумный звонок в определенные атакующим дату и время, чтобы прослушивать то, что происходит вблизи устройства.
Вредоносное ПО работает с правами администратора и его весьма сложно удалить. Для этого пользователи должны загрузить свое устройство в безопасном режиме, перейти в Настройки — Безопасность — Администрирование устройства, чтобы деактивировать данное ПО и затем удалить его, перейдя в Настройки — Приложения.
Как выяснилось, во вредоносе закодированы номер телефона атакующего, куда отправляются SMS, и адрес его электронной почты, на который отправляется информация. Более того, пароль для почтового ящика также включен во вредоносное ПО. Благодаря этому исследователям удалось получить доступ к учетной записи хакера и обнаружить, что с 10 октября жертвой этого вредоносного ПО пали более 300 пользователей.
Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.