SMS-троянцы. История продолжается

Появление новой вредоносной программы для смартфонов уже давно перестало быть чем-то особенным. Однако некоторые зловреды могут представлять собой нечто интересное. Что выделяет нового SMS-троянца Trojan-SMS.WinCE.Sejweek.a на фоне других «собратьев»? Давайте разберемся.

Большинство вредоносных программ, отправляющих короткие сообщения с определенным текстом на премиум-номер, достаточно примитивны: префикс SMS’ки и короткий номер находятся в теле вредоносного файла, то есть заранее известны. В случае с Trojan-SMS.WinCE.Sejweek.a все выглядит иначе.

После запуска вредоносный файл осуществляет попытку загрузки на смартфон XML-файла по ссылке http://today*******.cn/*****/*****/get.php. На момент написания данного текста файл имел следующий вид:

Именно этот файл содержит короткий номер, на который будет отправляться сообщение (тег phone); текст, с которым будет отправляться SMS-сообщение (тег text); и интервал между отправкой SMS-сообщений (тег interval).

В случае успешной загрузки XML-файла вредоносная программа расшифровывает тексты «YGLYGLMKTYGL» (номер, на который будут отправляться SMS-сообщения) и «YGLYGL» (интервал между отправкой SMS-сообщений). В результате получается «1151» и «11». То есть короткие сообщения будут отправляться на номер 1151 с текстом 60*** через каждые 11 секунд. Учитывая, что одно SMS на данный премиум-номер стоит около 40 рублей (чуть больше $1 США), можно представить, какой суммы может лишиться пользователь, телефон которого заразился вредоносной программой.