SMSFactory Trojan IOCs

Компания Avast отслеживает широко распространенную кампанию, состоящую из вредоносного ПО TrojanSMS, которое мы называем SMSFactory. SMSFactory тайком выкачивает деньги из жертв по всему миру, включая Россию, Бразилию, Аргентину, Турцию, Украину, США, Францию, Испанию и другие страны, отправляя SMS с премиум-тарифом и совершая звонки на телефонные номера с премиум-тарифом.

Эти номера оказываются частью схемы конвертации, когда в SMS указывается номер счета, определяющий, кто должен получить деньги за отправленные сообщения. Незамеченный злоумышленник может выставить большой счет за телефон, до 7 долларов в неделю или 336 долларов в год, оставив неприятный сюрприз для жертвы. Одна из найденных нами версий также способна извлекать списки контактов жертв, что, вероятно, способствует дальнейшему распространению вредоносной программы.

SMSFactory Trojan

Согласно исследованиям, вредоносная программа распространяется через malvertising, push-уведомления и оповещения, отображаемые на сайтах, предлагающих взломы игр, контент для взрослых или сайты бесплатного потокового видео. Вредоносная программа маскируется под приложение, в котором пользователи могут получить доступ к играм, видео или контенту для взрослых. После установки вредоносная программа скрывается, делая практически невозможным для жертв определить, что является причиной списания средств с их телефонных счетов.

Был создан ряд веб-сайтов с целью распространения и удаленного управления вредоносной программой. За последний год (май 2021 - май 2022) Avast защитил от SMSFactory более 165 000 пользователей Avast, причем наибольшее количество пользователей было защищено в России, Бразилии, Аргентине, Турции и Украине.

Разработчики, стоящие за SMSFactory, используют в своей кампании вредоносную рекламу. Малвертайзинг - это злоупотребление рекламой для перенаправления пользователей на сайты с вредоносными программами. Он часто появляется на сайтах, предоставляющих бесплатную потоковую передачу фильмов и телешоу, контента для взрослых или торрент-агрегаторах, но иногда может появляться и на обычных сайтах.

Пользователю предлагается загрузить файл, внешне напоминающий сайт, с которого он был перенаправлен. Это может быть, например, приложение для взлома игр, приложение для взрослых, приложение для бесплатного просмотра потокового видео и тому подобное.

Как только пользователь нажимает на кнопку Download, загружается вредоносное приложение. Поскольку оно поступает из стороннего источника, веб-сайт предлагает пользователю проигнорировать встроенное в Android предупреждение Play Protect и продолжить установку.

После установки пользователь получает приветственный экран. Нажатие кнопки "Принять" активирует вредоносное поведение приложения. Затем приложение представляет пользователю основное меню с видео, контентом для взрослых и играми, которые не работают или недоступны большую часть времени.

SMSFactory использует несколько трюков, чтобы остаться на устройстве жертвы и остаться незамеченным. У него пустой значок, и он способен скрыть свое присутствие от пользователя, удалив значок своего приложения с главного экрана. Кроме того, она не имеет имени приложения, что усложняет пользователю задачу по обнаружению и удалению вредоносного приложения. Очевидно, что вредоносная программа рассчитывает на то, что пользователь забудет об этом приложении на своем телефоне.

После скрытия вредоносная программа связывается с заранее установленным доменом. Он отправляет уникальный идентификатор, присвоенный устройству, его местоположение, номер телефона, информацию об операторе и модель телефона. Если агенты, стоящие за этой кампанией, считают устройство жертвы пригодным для использования, домен посылает устройству ответные инструкции. Это может быть либо список телефонных номеров, на которые вредоносная программа отправит SMS с премией, либо конкретный номер, на который приложение попытается позвонить.

И то, и другое приведет к чрезмерным расходам для жертвы. Точная сумма зависит от команды, отправленной агентами, стоящими за SMSFactory - в ходе нашего тестирования мы наблюдали ежедневную плату в размере 1 доллара за десять отправленных SMS-сообщений, что может достигать 28 долларов в месяц. Если жертвы не заметят или забудут об установленном приложении, это может привести к вымогательским счетам за телефон.

Из-за характера вредоносной программы пользователь может не знать о финансовом ущербе до тех пор, пока не получит счет за телефон. За это время SMSFactory может начислить значительные суммы, и пользователю будет трудно определить виновника, поскольку приложение скрывает себя.

SMSFactory также имеет несколько различных версий с дополнительными функциями. Одна из таких версий может создавать новую учетную запись администратора на устройстве Android, что потенциально затрудняет ее удаление. Другой вариант копирует список контактов жертвы и извлекает его, вероятно, для дальнейшего распространения вредоносной программы. Некоторые версии перенаправляют пользователей на сайты, чтобы заставить их установить другое приложение SMSFactory на свое устройство.

Между этими версиями SMSFactory есть и визуальные различия. Старые версии, выдававшие себя за взлом игры, имели иконку, в то время как в новых версиях иконка и название приложения полностью удалены. Условия и положения на скриншоте выше, упоминающие фоновые премиальные SMS/звонки, присутствуют только в одной из найденных мною версий вредоносной программы, в других версиях эта информация вообще отсутствует.

SMSFactory является активной вредоносной программой и, скорее всего, продолжит свое распространение.

Indicators of Compromise

Domains

  • sms.service.mobilelinks.xyz
  • krinterro.com
  • phone.relario.xyz
  • sms.relario.xyz

SHA256

  • 453df13d0a713ceaaf4790d7d08475a5f770e0ddf3b99c7355e99ff1819f5e83
  • 5e0b625abb4125ffeb1ec375f36ad22d8f4699bb411067434b3a71688959e495
  • 315aa2102b04fef28347788c8e32b6b45c0fd395106f6415f8d08db368c85053
  • adea95a9b678220b6a5c54d54c3043f20c26ed9cbcc4ce304f2a737a98e7d1b4
  • 26d527ffdbe35c1a3cac05a490bca36d3eae13a897648ee7ff81e0c412ce5a54
  • a01808e5b4d57f31bd17b1d8a2422d23d52f618e3284732449f7d22139d0eb36
  • a57fdb5f8845022cbcb33e62bfe8fc8757391b64fbfb6be87eb7e71e92c538f5
  • 5e13ba4cd22e59f9dec180a050865348f8c64147527f5d52a6f467e51201a29a
  • befbb3ab3711a991903a0cdac8d9f3782bc460c75fece4d9e8b01aba7394acd7
  • 58557cbb1cffa5f50bd2f70e205edca5f2b037bda0e99a2dfe3b1035cc0ff497
  • a9c24f54503c58b73bffa20bd4fb77bd424e01d3014a949a41de638f6841a45f
  • a0d0ded55f9bf2d286c5eac230b998a5e4ec6bbd894ff2dd0da97fd1079b4a92
  • d7a6f57c30e04623b105fc83c0b8e85787e327accd0bf691af3b1da655f1d160
  • 0e278d7faf8dd97689297435f08bb5561c36151b4a3ef2c3ab0d024165170091
  • ff2a35970052a0d66802d543260f4eafc8ceac4ea0d3a709a1859b0f5914bef9
  • 06d1759e8b4cdce0bc2faa5f4678d83d64887570dd0dd6a04b596052ab2c7edd
  • 13f6322973ce58a0e20607e6167f3fb7925c494cdd627bdabdc2d78f87f3c38a
  • 07fb68ae79c38a3a17222e7fa67bcb5e0bee5a8fe46e4a6b5caaf16135241f45
SEC-1275-1
Добавить комментарий