«Мобильные» угрозы: начало коммерциализации

[SDA]

Первое полугодие 2008 года выдалось интересным с точки зрения мобильных угроз, а точнее, одного из их видов: троянских программ, скрытно отправляющих платные SMS на короткие премиум-номера.

В данном контексте стоит отметить:

1. Рост числа вредоносных программ поведения Trojan-SMS.
2. Кроссплатформенность мобильных троянцев: под угрозой находятся любые телефоны, поддерживающие Java-приложения или имеющие интерпретатор языка Python.
3. Рост числа WAP-сайтов, на которых размещены такие троянские программы.
4. Появление в ICQ спам-рассылок, рекламирующих WAP-сайты и вредоносные программы, размещенные на них.
5. Разнообразные методы социальной инженерии, используемые при распространении и маскировке вредоносных программ.
6. Фиксированное количество коротких номеров, которые используют мошенники.

Об этих и других тенденциях более подробно будет рассказано ниже.

Начнем с роста числа вредоносных программ поведения Trojan-SMS. За первое полугодие 2008 года таких программ было обнаружено больше, чем за все время их существования. Напомним, что первая вредоносная программа этого поведения была задетектирована нами 27 февраля 2006 года (Trojan-SMS.J2ME.RedBrowser.a).


Число новых Trojan-SMS, обнаруженных
аналитиками «Лаборатории Касперского» (по месяцам 200

В целом за шесть месяцев 2008 года было обнаружено на 422% больше новых Trojan-SMS, чем во втором полугодии 2007 года.

В настоящий момент насчитывается 9 семейств для платформы J2ME, 3 – для Symbian и 1 для Python.

Что же представляют собой такие троянцы? Сами по себе данные вредоносные программы - достаточно примитивные поделки.

Если говорить о J2ME-троянцах, то абсолютное большинство их имеют следующую структуру: jar-архив, в котором есть несколько class-файлов. Один из этих файлов и осуществляет отправку платного SMS-сообщения на короткий номер (естественно, не спрашивая разрешения владельца телефона об отправке и не уведомляя его о стоимости такого сообщения). Остальные class-файлы служат лишь для маскировки. Внутри архива может быть несколько картинок (в большинстве своем – эротического содержания), а также manifest-файл, который в некоторых случаях также используется вредоносной программой для отправки сообщений.

Программы семейства Trojan-SMS.Python.Flocker, написанные для другой платформы (Python), практически ничем не отличаются от J2ME-троянцев: примитивность самой программы и ее задача остаются такими же. В sis-архиве есть основной скрипт, написанный на языке Python, который осуществляет отправку SMS на короткий премиум-номер, а также дополнительные скрипты, служащие для маскировки основной деятельности вредоносной программы.

Trojan-SMS опасны тем, что они являются кроссплатформенными программами. Если в телефоне (именно в телефоне, не обязательно в смартфоне) есть встроенная Java-машина, то на таком устройстве Trojan-SMS.J2ME сможет функционировать без всяких проблем. Что касается Trojan-SMS.Python, то здесь идет речь о кроссплатформенности в сегменте смартфонов на базе OS Symbian. Если в телефоне (с любой версией ОС) имеется интерпретатор Python’а, то Trojan-SMS.Python сможет функционировать на любой из таких моделей.

Самый популярный (из числа немногих) способ распространения таких вредоносных программ – через различные WAP-порталы, на которых посетителю предлагают загрузить различные мелодии, картинки, игры и приложения для мобильного телефона. Абсолютное большинство троянских программ маскируются либо под приложения, которые могут отправлять бесплатные SMS или предоставлять возможность использования бесплатного мобильного Интернета, либо под приложения эротического или порнографического характера.

Иногда вирусописатели придумывают довольно оригинальные способы маскировки вредоносных действий программы. Так, после запуска пользователем Trojan-SMS.J2ME.Swapi.g на дисплее телефона появляется приветствие с предложением посмотреть картинку порнографического содержания. Для этого нужно успеть нажать на кнопку «ДА», пока звучит короткий музыкальный сигнал. (В jar-архиве программы хранится и png-файл с картинкой, и midi-мелодия.) Стараясь успеть нажать кнопку вовремя, пользователь не догадывается, что каждое нажатие (неважно, вовремя или нет) приводит к отправке SMS-сообщения на короткий номер и к списанию определенной суммы с его счета.

Практически все сайты, на которых размещались вредоносные программы, предоставляют пользователям возможность выкладывать свои файлы. Простота регистрации (буквально пара кликов) и бесплатный доступ к таким сервисам позволяют вирусописателям распространять свои примитивные поделки безо всяких проблем. Злоумышленнику остается лишь дать файлу как можно более привлекательное для потенциальных жертв имя (free_gprs_internet, otpravka_sms_besplatno, golaya_devushka и так далее), написать такой же завлекательный комментарий и ждать, когда кто-то из пользователей решит «бесплатно отправить смс» или «посмотреть эротические картинки».

После размещения вредоносного софта злоумышленнику требуется создать ему хорошую рекламу. Тут на помощь приходят массовые рассылки в ICQ или спам на различных форумах. Почему именно ICQ? Напомним, что этот сервис мгновенного обмена сообщениями популярен в России и странах СНГ. Многие пользователи, которые хотят иметь постоянную возможность общения, используют мобильные клиенты ICQ. Для злоумышленника такие люди – потенциальные жертвы.

Таким образом, складывается интересная цепочка: создание вредоносной программы  ее размещение на WAP-сайте с привлекательным названием и комментарием  проведение спам-рассылки, которая может затронуть пользователей мобильных клиентов ICQ.

Теперь нам остается рассмотреть лишь один вопрос, который касается коротких номеров, используемых мобильными троянцами. Среди всех вредоносных программ, которые были обнаружены «Лабораторией Касперского», наиболее популярными оказались три коротких номера: 1171, 1161, 3649. Причем эти номера используются не только злоумышленниками, но и различными легальными компаниями, предоставляющими разного рода услуги. Получатель платежа за SMS определяется префиксом, с которым сообщение отправлено. В различных Trojan-SMS эти префиксы меняются, но иногда встречаются и повторения.

Популярность такого вида киберпреступности обусловлена исключительной простотой SMS-платежей.

Известно, что сотовые операторы сдают короткие номера в аренду. Частному лицу арендовать такой номер слишком дорого. Но существуют контент-провайдеры, которые такие короткие номера сдают в субаренду, добавляя к ним определенный префикс. Таким образом один и тот же короткий номер, но с разными префиксами могут использовать несколько арендаторов.

Например, короткий номер 1171 принадлежит одному из таких провайдеров, но если на номер 1171 будет отправлено сообщение, начинающееся на «S1», то система провайдера переведет часть стоимости такой SMS на счет субарендатора «S1».

Сотовый оператор забирает себе от 45% до 49% от стоимости отправленной на короткий номер SMS, около 10% получает арендующий этот номер провайдер. Остальные деньги отправляются субарендатору — в данном случае «мобильному» мошеннику.

Подведем итоги: первое полугодие 2008 года характеризуется первым в истории вредоносного ПО значимым ростом вредоносных программ для мобильных телефонов, которые отправляют платные SMS-сообщения на короткие премиум-номера без ведома владельцев телефонов. Очевидно, что все эти программы создавались с одной целью: обманным путем получить деньги пользователей. Простота создания и распространения таких приложений может привести к дальнейшему росту вредоносных программ поведения Trojan-SMS во втором полугодии 2008 года. Будем следить за развитием ситуации.

http://www.viruslist.com/ru/analysis?pubid=204007623#mb