Описание вредоносного ПО

SMS-троянцы. История продолжается

Появление новой вредоносной программы для смартфонов уже давно перестало быть чем-то особенным. Однако некоторые зловреды могут представлять собой нечто интересное. Что выделяет нового SMS-троянца Trojan-SMS.WinCE.Sejweek.a на фоне других «собратьев»? Давайте разберемся.

Большинство вредоносных программ, отправляющих короткие сообщения с определенным текстом на премиум-номер, достаточно примитивны: префикс SMS’ки и короткий номер находятся в теле вредоносного файла, то есть заранее известны. В случае с Trojan-SMS.WinCE.Sejweek.a все выглядит иначе.

После запуска вредоносный файл осуществляет попытку загрузки на смартфон XML-файла по ссылке http://today*******.cn/*****/*****/get.php. На момент написания данного текста файл имел следующий вид:

Именно этот файл содержит короткий номер, на который будет отправляться сообщение (тег phone); текст, с которым будет отправляться SMS-сообщение (тег text); и интервал между отправкой SMS-сообщений (тег interval).

В случае успешной загрузки XML-файла вредоносная программа расшифровывает тексты «YGLYGLMKTYGL» (номер, на который будут отправляться SMS-сообщения) и «YGLYGL» (интервал между отправкой SMS-сообщений). В результате получается «1151» и «11». То есть короткие сообщения будут отправляться на номер 1151 с текстом 60*** через каждые 11 секунд. Учитывая, что одно SMS на данный премиум-номер стоит около 40 рублей (чуть больше $1 США), можно представить, какой суммы может лишиться пользователь, телефон которого заразился вредоносной программой.

SMS-троянцы. История продолжается

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике