Обнаружен первый Trojan-SMS для смартфонов

На этой неделе нами было обнаружено сразу три варианта новой троянской программы для мобильных телефонов. Trojan-SMS.SymbOS.Viver занимается тем, что отсылает платные SMS-сообщения на premium-номера. Таким образом, со счета пострадавшего владельца телефона снимается определенная сумма денег, которая перечисляется на счет злоумышленника.

Подобные троянцы не новы: первые «творения», способные функционировать практически на любом мобильном телефоне с поддержкой Java (см. RedBrowser, Wesber) мы обнаружили в прошлом году. Отличие Viver от них заключается в том, что Viver написан специально для телефонов на платформе Symbian и является первым Trojan-SMS для смартфонов.

Проведенный анализ позволил нам установить способ его распространения и схему получения денег мошенниками.

Троянцы размещались на популярнейшем российском сайте пользователей смартфонов — dimonvideo.ru, в разделе «Файлообмен». Файлы туда может добавить любой зарегистрированный пользователь данного сайта.

Как обычно, троянцы выдавались за полезные утилиты, например, фото редактор, набор видео кодеков и т.д. После установки в смартфон троянец отсылал SMS на номер 1055. Стоимость отправленной SMS составляла 177 рублей (почти 7 долларов США).

Номер 1055 очень интересен. Как выясняется, он уже не первый раз используется мобильными мошенниками. И позволяет им остаться безнаказанными.

Как это делается?

Известно, что сотовые операторы сдают короткие номера в аренду. Однако частному лицу арендовать такой номер стоит слишком дорого. Но существуют контент-провайдеры, например «Инфон», у которых есть такие короткие номера, и которые сдают их в субаренду путем добавления к ним определенного префикса.

Так, короткий номер 1055 принадлежит именно «Инфон», но если на номер 1055 будет отправлено сообщение, начинающееся на «S1», то система «Инфона» переведет часть стоимости такой SMS на счет субарендатора «S1».

Мобильный оператор забирает себе от 45% до 49% от стоимости SMS, около 10% получает «Инфон». Остальные деньги отправляются субарендатору — в данном случае, «мобильному» мошеннику.

Достоверно известно, что только в случае с одним из вариантов Viver, его успело менее чем за сутки скачать себе около 200 человек. После этого троянец был удален из доступа администрацией сайта. Простой расчет показывает, что при 200 пострадавших и стоимости SMS в 177 рублей, мошенник мог получить за один день «заработок» в 14 тысяч рублей (более 500 долларов США).

В этом месяце нами зарегистрировано три подобных инцидента. Сколько еще таких троянцев остаются незамеченными — остаётся только догадываться.