Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Trojany SMS: obecne na całym świecie

Denis Maslennikow
Kaspersky Lab Expert
Dodany 29 listopada 2011, 10:24 CET
Tagi:

W połowie czerwca obserwowaliśmy SMS-y zawierające aplikacje z pornografią, które oferowały sprośne obrazki i potajemnie zapisywały użytkowników do różnych usług o podwyższonej opłacie. Aplikacje te były skierowane do użytkowników ze Stanów Zjednoczonych, Malezji, Holandii, Wielkiej Brytanii, Kenii i południowej Afryki. Pisaliśmy wtedy, że ‘…pojawienie się kilku aplikacji wykorzystujących SMS-y o podwyższonej opłacie i skierowanych do użytkowników z różnych krajów dowodzi, że niestety nie jest to już tylko problem Rosji i Chin’.

Obecnie problem ten wyewoluował do trojanów SMS, których celem są użytkownicy z kilku krajów Europy i Kanady. Tak, te trojany SMS nie są skierowane do użytkowników smartfonów z Rosji i Chin.

Zgodnie z informacjami, jakie znaleźliśmy na forach internetowych, pierwsze infekcje odnotowano na początku września. Jeden z użytkowników pobrał aplikację do zarządzania i monitorowania swoich wiadomości SMS/MMS, połączeń i ruchu sieciowego. Po uruchomieniu tej aplikacji wyświetlona została wiadomość o braku kompatybilności z wersją systemu Android na urządzeniu użytkownika, a następnie wyczyszczone zostało jego konto.

Zlokalizowaliśmy tę aplikację i niespodziewanie okazała się być trojanem SMS, który wysyła 4 wiadomości SMS na numery o podwyższonej opłacie. Wykrywamy go jako Trojan-SMS.AndroidOS.Foncy.

Trojan ten był rozpowszechniany na stronie internetowej do przechowywania plików pod nazwą ‘SuiConFo.apk’. Po instalacji pojawiał się w menu głównym smartfonów z systemem Android:

Trojan wyposażony jest w dwa szkodliwe moduły: ‘MagicSMSActivity.class’ i ‘SMSReceiver.class’. Pierwszy z nich jest odpowiedzialny za wysyłanie SMS-ów, natomiast drugi służy do ukrywania wiadomości przychodzących z określonych numerów. Jak już zostało wspomniane, po uruchomieniu aplikacja wyświetla wiadomość o błędzie „Android version is not compatible” („Wersja systemu Android nie jest kompatybilna”):

Zaraz po wyświetleniu tej wiadomości trojan wywołuje metodę publiczną getSimCountryIso z klasy TelephonyManager w celu uzyskania kodu ISO kraju karty SIM:

Następnie szkodliwe oprogramowanie definiuje zmienne ‘s1’ (numer SMS-a) i ‘s2’ (treść SMS-a):

Lista krajów zawiera 8 pozycji: Francja (numer SMS-a 81001), Belgia (numer SMS-a 9903), Szwajcaria (numer SMS-a 543), Luksemburg (numer SMS-a 64747), Kanada (numer SMS-a 60999), Niemcy (numer SMS-a 63000), Hiszpania (numer SMS-a 35064) i Wielka Brytania (numer SMS-a 60999).

Wygląda na to, że twórcy trojana popełnili błąd. Trojan wysyła wiadomość SMS przy użyciu klasy SmsManager zawierającej metodę sendTextMessage:

smsmanager.sendTextMessage(s1, null, s2, pendingintent, pendingintent1),

gdzie ‘s1’ reprezentuje numer, a ‘s2’ oznacza treść. Te zmienne są określone poprawnie dla wszystkich krajów oprócz Kanady:

if(s.equals("ca"))
{
s1 = "SP";
s2 = "60999";

Po określeniu kraju, numeru i treści wiadomości trojan wyśle 4 SMS-y przy pomocy metody sendTextMessage (jak zostało to opisane powyżej).

SMSReceiver.class jest odpowiedzialny za ukrywanie wiadomości SMS przychodzących z określonych numerów. Jeżeli SMS przychodzi z jednego z następujących numerów: 81001, 35064, 63000, 9903, 60999, 543, 64747, wówczas trojan będzie próbował go ukryć przy użyciu metody abortBroadcast. Sam numer jest uzyskiwany z wiadomości SMS przy pomocy metody getDisplayOriginatingAddress.

Jest jeszcze jedna interesująca rzecz czająca się w tym szkodliwym programie. Jeżeli spojrzymy na ten kod:

możemy zauważyć, że po ukryciu wiadomości przychodzącej (abortBroadcast) trojan ten wyśle na francuski numer telefonu komórkowego jeszcze jeden SMS o treści przechowywanej w zmiennej ‘s’. Zmienna ‘s’ jest definiowana przy pomocy metody getMessageBody po przyjściu SMS-a.

Innymi słowy, trojan wyśle na francuski numer telefonu komórkowego SMS-a o treści wziętej z wiadomości zwrotnej z numeru o podwyższonej opłacie. Może to pomóc cyberprzestępcom w zorientowaniu się w liczbie wysłanych wiadomości SMS.

Obecnie trojany SMS są niestety jednym z najłatwiejszych sposobów do szybkiego zdobycia pieniędzy przez cyberprzestępców. Szkodliwe wykorzystanie SMS-ów o podwyższonej opłacie zostało rozpowszechnione na całym świecie i jestem prawie pewien, że nie skończy się to tak szybko. Będziemy monitorować sytuację i informować Was na bieżąco.