Исследование

Мобильная игра и троянец «в подарок»

С 27 марта на различных международных сайтах, посвященных бесплатному программному обеспечению для смартофонов под управлением операционной системы Windows Mobile и позволяющих это программное обеспечение скачать, появилась новая игра «3D Antiterrorist». Внутри полуторамегабайтного архива, помимо самой игры, можно найти файл с именем reg.exe, который в действительности является троянской программой, звонящей на международные платные номера, что чревато ощутимыми денежными потерями для владельцев смартфонов. С 8 апреля вредоносная программа детектируется «Лабораторией Касперского» как Trojan.WinCE.Terdial.a. Что же представляет собой данный зловред?

После запуска установочного файла antiterrorist3d.cab происходит инсталляция игры в директорию «Program Files», а также копирование вредоносного файла reg.exe размером 5632 байт в системную директорию под именем smart32.exe.

Более детальный анализ кода зловреда показал, что:

  • вредоносная программа была создана русскоязычным вирусописателем;
  • звонки осуществляются на 6 различных премиум-номеров через каждые 50 секунд;
  • зловред использует функцию CeRunAppAtTime для собственного запуска, причем запуск осуществляется в ночное время (т.е. когда пользователь смартфона, скорее всего, спит).

Список номеров, на которые осуществляются звонки:

  • +882******7 — International Networks
  • +1767******1 — Доминиканская республика
  • +882*******4 — International Networks
  • +252*******1 — Сомали
  • +239******1 — Сан-Томе и Принсипи
  • +881********3 — Global Mobile Satellite System

Год назад мы писали о порнозвонилке для смартфонов под управлением операционной системы Symbian. Напомним, что звонки на международные платные номера осуществлялись этой программой для получения доступа к материалам, предназначенным лицам старше 18 лет, при этом пользователь получал предварительное предупреждение о звонке на международный платный номер.

Теперь же мы имеем дело с первой вредоносной программой, которая звонит на международные платные номера, нелегально обогащая владельца(ев) вредоносной программы.

Мобильная игра и троянец «в подарок»

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике