Спам и фишинг

SMS-троянцы — новый виток

Вчера нами была зафиксирована очередная SMS-спам рассылка, содержащая ссылку на вредоносную программу для мобильных телефонов и смартфонов: Trojan-SMS.J2ME.Smmer.f. Отправителем мог значиться обычный мобильный телефонный номер, например, +79671*****2. Текст спам-сообщения выглядел следующим образом:

Poluchen MMS podarok ot «Katya» dlya abonenta <телефонный номер получателя> Posmotret: http://load***.ru/606.jar

Сама вредоносная программа маскируется под виртуальную открытку:

По ссылке в спам-сообщении находится очередной SMS-троянец, который детектируется нами как Trojan-SMS.J2ME.Smmer.f. О другом подобной рассылке мы писали ранее. Чем же отличаются эти случаи?

В случае рассылки годичной давности SMS-троянец пытался отправить SMS-сообщения на платный короткий номер 8353, стоимость сообщения на который равна ~180 рублям. SMS-троянец из вчерашней рассылки отправляет ровно два сообщения: первое — на короткий номер 3116; второе — на короткий номер 8464.

Стоимость сообщения на любой из данных коротких номеров равна… 0 рублям! В очередной раз всплывает старый вопрос: «Где деньги?»

Дело в том, что данные короткие номера используются одним из операторов сотовой связи для перевода денежных средств с одного мобильного телефона на другой. Если один абонент хочет осуществить такую операцию, то ему необходимо отправить SMS-сообщение на номер 3116 следующего вида:

Номер_телефона_получателя Сумма_перевода

Trojan-SMS.J2ME.Smmer.f отправляет первое сообщение на короткий номер 3116 с текстом «9654*****2 200». Это значит, что баланс мобильного телефона зараженного пользователя уменьшится на 200 рублей из-за вредоносной программы. Но зачем SMS-троянцу отправлять второе бесплатное SMS-сообщение на короткий номер 8464 с текстом «1»? Данная SMS’ка необходима для подтверждения перевода средств с одного телефона на другой.

Мы видели похожие вредоносные программы уже два года назад, однако их целью были пользователи оператора сотовой связи в Индонезии.

Различные сервисы, предлагаемые мобильными операторами, созданы для удобства пользователей. Данная конкретная услуга мобильного перевода позволяет пополнить баланс абонента, который в этом нуждается. Однако, как мы видим, злоумышленники всегда пытаются обратить легальные сервисы в нелегальное средство обогащения.

SMS-троянцы — новый виток

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике