Раскрыта схема кражи данных через троян Android.Spy.Lydia

Группа специалистов Dr.Web обнаружила новые уникальные версии троянской программы Android.Spy.Lydia, которая проводит шпионские операции на инфицированных устройствах и позволяет удаленно управлять ими для кражи личных данных и денежных средств. Этот троян обладает механизмом защиты, который определяет, запускается ли он в эмуляторе или на тестовом устройстве.

Распространение трояна осуществляется через фальшивые сайты, маскирующиеся под финансовые организации, такие как онлайн-биржи, особенно нацеленные на жителей Ирана. Пользователям этих сайтов предлагается скачать специальное ПО для доступа к торговым сессиям, которое на самом деле является Android.Spy.Lydia.

Троян при активации запрашивает фишинговую страницу с адреса hxxp[:]//teuoi[.]com, которая затем отображается через WebView, минуя браузер. Анализируемый образец трояна открывал URL: hxxps[:]//my-edalatsaham[.]sbs/fa/app.php. На этой странице представлена форма для ввода идентификационного номера под предлогом выплаты дивидендов. На деле же троян передает информацию о заражении устройства и свой уникальный идентификатор на командный сервер.

После инфицирования устройства троян соединяется с удаленным хостом по адресу ws[:]//httpiamaloneqs[.]xyz:80 через WebSocket и ожидает команд. Он способен собирать данные о приложениях, перехватывать SMS, управлять звуком и телефонной книгой и другими функциями, что позволяет проводить мошеннические действия для кражи денег как с банковских счетов, так и от частных лиц, выдавая себя за жертву.