RuMMS атакует российских пользователей Android

Исследователи обнаружили новое вредоносное ПО на платформе Android, которое распространяется через спам в сообщениях СМС и незаметно снимает деньги с банковских счетов жертв. Специалисты из компании FireEye назвали программу RuMMS и на данный момент она атакует пользователей только из России. Первые случаи инфицирования были зафиксированы 18 апреля, распространение продолжается до сих пор. FireEye с момента обнаружения угрозы нашла 2729 жертв. В январе было 380 заражений, в феврале 767, в марте 1169 и в апреле 413.

RuMMS не использует сложную систему распространения, уязвимости нулевого дня, веб-эксплоиты или вредоносную рекламу. Задействуются несложные методы социальной инженерии, СМС заманивает пользователей на сайт обещанием показать ММС-сообщение от друга. Для его просмотра предлагается скачать приложение, которым и является RuMMS. При установке запрашиваются права администратора, которые многие соглашаются дать.

После приложение скрывает свою иконку, собирает данные об устройстве и отправляет на сервер. Далее программа работает как банковский троян, проверяя наличие у пользователя аккаунта в разных сервисах и пытаясь зайти в него при помощи найденных на устройстве данных. Имеется возможность перехвата СМС-сообщения второго уровня аутентификации в финансовых сервисах.

За время наблюдений троян крал суммы не больше 600 рублей. Такие относительно небольшие суммы используются, чтобы не выделяться среди других расходов и не привлечать внимания пользователей. Напоследок RuMMS рассылает СМС всем контактам в списке пользователя всё с тем же сообщением.