Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Trojan-SMS.WinCE.Sejweek

Denis Nazarow
Kaspersky Lab Expert
Dodany 18 grudnia 2009, 10:19 CET

Nowe programy atakujące urządzenia mobilne nie wzbudzają już sensacji; zdążyliśmy się już przyzwyczaić do szkodliwego oprogramowania dla smartfonów. Jednak od czasu do czasu pojawia się szkodliwy program, który wyróżnia się spośród innych: tym razem jest to Trojan-SMS.WinCE.Sejweek.a, nowy program stworzony w celu wysyłania wiadomości SMS z zainfekowanego urządzenia. Zatem czym różni się ten program od innych trojanów SMS? Przyjrzyjmy się.

Większość szkodliwych programów, które wysyłają wiadomości SMS na numery o podwyższonej opłacie, wykorzystuje numer i tekst wiadomości, które są zakodowane w samym szkodliwym oprogramowaniu. Jednak Sejweek jest trochę inny - po uruchomieniu trojan ten próbuje pobrać plik XML na smartfon ze strony http://today*******.cn/*****/*****/get.php. W momencie pisanie tego postu plik ten wyglądał tak:


Plik zawiera numer o podwyższonej opłacie (otoczony tagiem); tekst SMS-a (); oraz czas, jaki powinien upłynąć między wysłaniem każdej wiadomości SMS (). Umieszczenie numeru w oddzielnym pliku, a nie w samym szkodniku, ułatwia zmianę numeru w przypadku zablokowania pierwszego, co rozszerza cały cykl "zarabiania pieniędzy" oraz maksymalizuje zyski.

Jeżeli plik XML zostanie poprawnie pobrany, szkodliwy program odszyfruje "YGLYGLMKTYGL" oraz "YGLYGL" (tj. numer, na jaki jest wysyłany SMS, oraz czas pomiędzy kolejnymi SMS-ami) otrymując "1151" i "11". Innymi słowy, wiadomości zawierające "60***" są wysyłane na numer o podwyższonej opłacie - 1151 - a przerwa między kolejnymi wiadomościami wynosi 11 sekund. Ponieważ jeden SMS wysłany na numer 1151 kosztuje około 40 rubli (trochę ponad 1 dolara), właściciele zainfekowanych urządzeń niedługo zaczną liczyć straty!