Новый вирус атакует южнокорейских пользователей Android

Компания «Доктор Веб» сообщила о вредоносной программе Android.Tempur.1.origin, которая осуществляет кражу конфиденциальных сведений, включая банковские реквизиты, а также информацию о входящих SMS-сообщениях и совершаемых телефонных звонках южнокорейских пользователей Android. Кроме того, тоянец способен выполнять отправку коротких сообщений, в том числе и на премиум-номера.

Особенность этой вредоносной программы-носителя заключается в том, что перед установкой она выполняет поиск уже имеющихся на мобильном устройстве легитимных версий банковского ПО, и при обнаружении последних пытается выполнить их деинсталляцию. Если мобильное устройство имеет root-доступ, «дроппер» при помощи специальной команды изменяет атрибуты найденных приложений и выполняет их удаление без вмешательства пользователя. В противном случае удаление происходит по стандартной процедуре с демонстрацией соответствующего диалогового окна. После удаления настоящих банковских приложений троянец-носитель пытается установить их поддельные копии.

В случае успешного запуска известные варианты Android.Tempur.1.origin демонстрируют интерфейс, приближенный к внешнему виду официальных банковских приложений, и обманным путем заставляют пользователей ввести свои аутентификационные или персональные сведения. Полученная таким образом информация затем пересылается киберпреступникам.