Последние время мы наблюдаем, как SMS-троянцы начинают действовать во все большем количестве стран. Яркий пример тому – Trojan-SMS.AndroidOS.Stealer.a. Этот троянец, занявший первое место в нашем ТОР 20 мобильных зловредов, на данный момент может отправлять премиум SMS в 14 различных странах мира.
Но, как оказалось, это не предел. Другой троянец – Trojan-SMS.AndroidOS.FakeInst.ef – угрожает пользователям 66 стран, в том числе США. Это первый известный нам случай появления SMS-троянца в этой стране.
FakeInst был обнаружен нами еще в феврале 2013 года, с тех пор появилось 14 разных вариантов троянца. Первые версии умели отправлять премиум SMS только в России, но в конце первого полугодия 2013 года появилась поддержка других стран:
Абхазия | Казахстан | Латвия | Чехия |
Германия | Украина | Испания | Грузия |
Литва | Беларусь | Польша | Франция |
Австралия | Молдова | Эстония | Греция |
Таджикистан | Великобритания | Киргизстан | Бельгия |
Финляндия | Малайзия | Израиль | Мексика |
Гонконг | Швеция | Дания | Сербия |
Азербайджан | Армения | Чили | Босния |
Нигерия | Венгрия | Канада | Нидерланды |
Македония | Швейцария | Португалия | Словакия |
Норвегия | Южная Африка | Египет | Бразилия |
Черногория | Камбоджа | Ирландия | Вьетнам |
Люксембург | Аргентина | Перу | Словения |
Марокко | Индонезия | Колумбия | Италия |
Эквадор | Боливия | Китай | Новая Зеландия |
Албания | Венесуэла | Косово | США |
Наибольшее количество заражений зловредом Trojan-SMS.AndroidOS.FakeInst.ef было зафиксировано нами в России и Канаде.
FakeInst выдает себя за приложение для просмотра порнографического видео.
Приложение просит пользователя подтвердить отправку SMS в качестве оплаты за возможность просмотра платного контента. Однако после отправки троянец открывает общедоступный сайт.
Для отправки SMS троянец расшифровывает свой конфигурационный файл, в котором хранятся все номера и префиксы:
В этом файле FakeInst выбирает подходящие номера и префиксы для мобильного кода страны (MCC) пользователя.
Например, для MCC 311-316 (США) троянец отправит на номер 97605 три SMS, каждое стоимостью около 2$.
Кроме этого, зловред обращается к С&C за новыми указаниями. Среди команд, которые он может получить, хотелось бы выделить отправку SMS с заданным текстом на указанный в команде номер и перехват входящих сообщения. Причем троянец может просто воровать все входящие SMS, а может удалять их или отвечать на них.
Обработка команд на перехват SMS от управляющего сервера
Мы полагаем, что FakeInst был создан русскоязычными злоумышленниками. Во-первых, ранние версии этого троянца были рассчитаны на работу только в России. Во-вторых, все C&C-сервера зарегистрированы и хостятся в российских компаниях. Практически во всех версиях троянца используются один из двух C&C:
x-bt.in
y-bt.in
Эти адреса были зарегистрированы на имя «Klimon Dmitriy Ivanovich», указавшего московский адрес и российский номер телефона.
Эти домены используют DNS-сервера компании FASTVPS.RU.
На том же IP-адресе, что и эти C&C, расположены сайты:
botmgr.net
anid.in
icemob.net
ftop.org
midex.org
wapon.org
Судя по их ответам и структуре, перечисленные сайты тоже используются для управления ботами. Кроме того, они также были зарегистрированы на указанные выше данные.
SMS-троянец с мировыми амбициями
Марат
Как в распакованном приложении .apk можно найти трояна по каким признакам ?