Троян Faketoken рассылает оскорбления в SMS за чужой счет

В прошлом SMS-вор и шифровальщик, зловред теперь шлет с зараженных устройств сообщения за границу.

Изобретательность вирусописателей не знает предела. Их детища регулярно осваивают новые специальности: шифровальщики становятся еще и майнерами, а банковские воры — вымогателями. Иногда в судьбе зловреда происходит и вовсе драматический поворот. Вот, например, занимательная история про кражу денег, SMS и страшную месть.

Faketoken: от SMS-вора до полноценного банкера

С банковским трояном Faketoken мы знакомы давно — еще в 2014 году он выбился в двадцатку самых распространенных мобильных угроз. Тогда зловред работал в паре с десктопными банкерами: «старший товарищ» взламывал аккаунт жертвы и выводил деньги, а Faketoken перехватывал SMS с одноразовыми паролями для подтверждения этих транзакций.

К 2016 году наш герой возмужал, окреп и принялся красть деньги самостоятельно: научился перекрывать другие приложения фейковыми окнами и заставлять пользователя вводить туда логины, пароли и данные банковских карт. В дополнение к этому он освоил работу вымогателя: начал блокировать экран зараженного устройства и заодно шифровать файлы на нем.

К 2017 году он изучил целую кучу приложений, которыми можно прикидываться, чтобы красть данные карточек, — программы для мобильного банкинга, электронные кошельки вроде Google Pay и даже службы заказа такси и приложения для оплаты штрафов.

Неожиданный поворот в жизни Faketoken

И вот недавно наша система мониторинга активности ботнетов — Botnet Attack Tracking — обнаружила пять тысяч смартфонов, с которых Faketoken… шлет кому-то SMS с оскорблениями.

Вообще умение отправлять сообщения для мобильного зловреда вещь обычная: многие из них распространяются, рассылая ссылки на скачивание себя всем контактам жертвы. Кроме того, банковские трояны часто хотят стать приложением для работы с SMS по умолчанию — чтобы перехватывать сообщения с кодом подтверждения.

Однако чтобы зловред, нацеленный на чужие банковские счета, внезапно превращался в инструмент для личных разборок — такого мы раньше не видели.

SMS за границу за ваш счет

Все сообщения Faketoken рассылает за счет владельцев зараженных устройств. Причем подходит к вопросу основательно: прежде чем что-то отправить, зловред проверяет, достаточно ли средств на банковской карте жертвы. Убедившись, что баланс положительный, он пополняет с этой карты мобильный счет и только после этого приступает к рассылке.

Для многих владельцев зараженных телефонов номер, на который обрушился гнев зловреда, — зарубежный. Учитывая, что одной SMS от каждой жертвы Faketoken не ограничивается, сумма, которой недосчитаются пользователи, может оказаться заметной.

Как защититься от Faketoken

Мы не знаем, насолила ли жертва рассылки самим авторам Faketoken — или же они сдают ботнет в аренду любому желающему отомстить и подобные акции могут стать массовыми. Чтобы поневоле не стать соучастником одной из них, стоит принять меры:

• Устанавливайте программы только из официальных магазинов. А лучше вообще запретите загрузку приложений из сторонних источников в настройках телефона.
• Не переходите по ссылкам из сообщений, если вы не уверены в их безопасности. Если знакомый вдруг присылает вам фото не в соцсетях и мессенджерах, а в виде ссылки в SMS, это должно вас как минимум насторожить.

Пример вредоносной SMS со ссылкой на скачивание трояна

• Установите надежное защитное решение. Kaspersky Internet Security для Android распознает и блокирует Faketoken, а также многих других мобильных зловредов.

13.01.2020