Сценарий перехвата SMS-сообщений не просто вероятен, а уже годами используется банковскими троянцами. Несколько лет назад зловреды под названиями ZitMo и SpitMo были родоначальниками атак на двухфакторную аутентификацию при помощи SMS. Но с тех пор почти все SMS и банковские троянцы имеют в своём вооружении этот механизм.
Перехватить SMS на устройстве жертвы технически проще, чем сделать аналогичную операцию на оборудовании оператора. Единственная сложность заключается в процессе заражения пользователя.
В целом получить входящую SMS может любое приложение, однако на поздних версиях операционной системы Android сделать так, чтобы пользователь не увидел входящую SMS, не так просто. Нужно сильно ввести пользователя в заблуждение.
Всё это применимо для Android-девайсов, на других системах перехват SMS невозможен – так спроектирована операционная система. И да, я согласен с тем, что реалистичнее атаки на пользователей, чем на инфраструктуру. Превентивная мера на сегодняшний день только одна: установить защитное решение.