Описание вредоносного ПО

SMS-троянец с мировыми амбициями

Последние время мы наблюдаем, как SMS-троянцы начинают действовать во все большем количестве стран. Яркий пример тому – Trojan-SMS.AndroidOS.Stealer.a. Этот троянец, занявший первое место в нашем ТОР 20 мобильных зловредов, на данный момент может отправлять премиум SMS в 14 различных странах мира.

Но, как оказалось, это не предел. Другой троянец – Trojan-SMS.AndroidOS.FakeInst.ef – угрожает пользователям 66 стран, в том числе США. Это первый известный нам случай появления SMS-троянца в этой стране.

FakeInst был обнаружен нами еще в феврале 2013 года, с тех пор появилось 14 разных вариантов троянца. Первые версии умели отправлять премиум SMS только в России, но в конце первого полугодия 2013 года появилась поддержка других стран:

Абхазия Казахстан Латвия Чехия
Германия Украина Испания Грузия
Литва Беларусь Польша Франция
Австралия Молдова Эстония Греция
Таджикистан Великобритания Киргизстан Бельгия
Финляндия Малайзия Израиль Мексика
Гонконг Швеция Дания Сербия
Азербайджан Армения Чили Босния
Нигерия Венгрия Канада Нидерланды
Македония Швейцария Португалия Словакия
Норвегия Южная Африка Египет Бразилия
Черногория Камбоджа Ирландия Вьетнам
Люксембург Аргентина Перу Словения
Марокко Индонезия Колумбия Италия
Эквадор Боливия Китай Новая Зеландия
Албания Венесуэла Косово США

Наибольшее количество заражений зловредом Trojan-SMS.AndroidOS.FakeInst.ef было зафиксировано нами в России и Канаде.
FakeInst выдает себя за приложение для просмотра порнографического видео.

Приложение просит пользователя подтвердить отправку SMS в качестве оплаты за возможность просмотра платного контента. Однако после отправки троянец открывает общедоступный сайт.

Для отправки SMS троянец расшифровывает свой конфигурационный файл, в котором хранятся все номера и префиксы:

В этом файле FakeInst выбирает подходящие номера и префиксы для мобильного кода страны (MCC) пользователя.

Например, для MCC 311-316 (США) троянец отправит на номер 97605 три SMS, каждое стоимостью около 2$.

Кроме этого, зловред обращается к С&C за новыми указаниями. Среди команд, которые он может получить, хотелось бы выделить отправку SMS с заданным текстом на указанный в команде номер и перехват входящих сообщения. Причем троянец может просто воровать все входящие SMS, а может удалять их или отвечать на них.


Обработка команд на перехват SMS от управляющего сервера

Мы полагаем, что FakeInst был создан русскоязычными злоумышленниками. Во-первых, ранние версии этого троянца были рассчитаны на работу только в России. Во-вторых, все C&C-сервера зарегистрированы и хостятся в российских компаниях. Практически во всех версиях троянца используются один из двух C&C:
x-bt.in
y-bt.in

Эти адреса были зарегистрированы на имя «Klimon Dmitriy Ivanovich», указавшего московский адрес и российский номер телефона.

Эти домены используют DNS-сервера компании FASTVPS.RU.

На том же IP-адресе, что и эти C&C, расположены сайты:
botmgr.net
anid.in
icemob.net
ftop.org
midex.org
wapon.org

Судя по их ответам и структуре, перечисленные сайты тоже используются для управления ботами. Кроме того, они также были зарегистрированы на указанные выше данные.

SMS-троянец с мировыми амбициями

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

  1. Марат

    Как в распакованном приложении .apk можно найти трояна по каким признакам ?

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике