Исследование

Мобильная игра и троянец «в подарок»

С 27 марта на различных международных сайтах, посвященных бесплатному программному обеспечению для смартофонов под управлением операционной системы Windows Mobile и позволяющих это программное обеспечение скачать, появилась новая игра «3D Antiterrorist». Внутри полуторамегабайтного архива, помимо самой игры, можно найти файл с именем reg.exe, который в действительности является троянской программой, звонящей на международные платные номера, что чревато ощутимыми денежными потерями для владельцев смартфонов. С 8 апреля вредоносная программа детектируется «Лабораторией Касперского» как Trojan.WinCE.Terdial.a. Что же представляет собой данный зловред?

После запуска установочного файла antiterrorist3d.cab происходит инсталляция игры в директорию «Program Files», а также копирование вредоносного файла reg.exe размером 5632 байт в системную директорию под именем smart32.exe.

Более детальный анализ кода зловреда показал, что:

  • вредоносная программа была создана русскоязычным вирусописателем;
  • звонки осуществляются на 6 различных премиум-номеров через каждые 50 секунд;
  • зловред использует функцию CeRunAppAtTime для собственного запуска, причем запуск осуществляется в ночное время (т.е. когда пользователь смартфона, скорее всего, спит).

Список номеров, на которые осуществляются звонки:

  • +882******7 — International Networks
  • +1767******1 — Доминиканская республика
  • +882*******4 — International Networks
  • +252*******1 — Сомали
  • +239******1 — Сан-Томе и Принсипи
  • +881********3 — Global Mobile Satellite System

Год назад мы писали о порнозвонилке для смартфонов под управлением операционной системы Symbian. Напомним, что звонки на международные платные номера осуществлялись этой программой для получения доступа к материалам, предназначенным лицам старше 18 лет, при этом пользователь получал предварительное предупреждение о звонке на международный платный номер.

Теперь же мы имеем дело с первой вредоносной программой, которая звонит на международные платные номера, нелегально обогащая владельца(ев) вредоносной программы.

Мобильная игра и троянец «в подарок»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике