Ewolucja złośliwego oprogramowania I-VI 2008

Przeczytaj także: Ewolucja złośliwego oprogramowania 2007

Po tym, jak szkodliwe oprogramowanie zostanie umieszczone na takiej stronie, należy je w jakiś sposób rozreklamować. W tym celu wykorzystuje się masowe wysyłki odsyłaczy za pośrednictwem ICQ lub fora spamowe. Dlaczego ICQ? Ten klient IM jest bardzo popularny w Rosji i krajach należących do Wspólnoty Niepodległych Państw i wielu użytkowników, którzy chcą pozostać w stałym kontakcie, korzysta z mobilnych klientów ICQ. Naturalnie, dla szkodliwego użytkownika takie osoby stanowią potencjalne ofiary.

Prowadzi to do powstania interesującego łańcucha: zostaje stworzony szkodliwy program › program ten, z przyciągającą uwagę nazwą i opisem, jest umieszczany na stronie WAP › przeprowadzana jest masowa wysyłka, która może dotrzeć do użytkowników mobilnych klientów ICQ.

Do zbadania pozostaje jeszcze tylko jedna kwestia - krótkie numery wykorzystywane przez trojany mobilne. Do numerów najczęściej wykorzystywanych przez szkodliwe programy wykryte przez firmę Kaspersky Lab należą 1171, 1161 i 3649. Numery te nie tylko są wykorzystywane przez szkodliwych użytkowników, ale również przez wiele legalnych firm, które oferują szereg różnych usług. Zapłata za wiadomości SMS jest przydzielana zgodnie z prefiksem numeru, z którego jest wysyłany SMS. Prefiksy te zmieniają się w różnych programach Trojan-SMS, czasami jednak powtarzają się.

Operatorzy telefonii komórkowych oferują dzierżawę krótkich numerów. Wydzierżawienie takiego numeru byłoby bardzo kosztowne dla osoby prywatnej, istnieją jednak dostawcy zawartości, którzy wydzierżawiają te numery, a następnie - po dodaniu określonego prefiksu - poddzierżawiają je innym.

Na przykład pewien dostawca jest właścicielem krótkiego numeru 1171. Jeśli na numer ten zostanie wysłana wiadomość rozpoczynająca się od "S1", system dostawcy przeleje część kosztu SMS-a na konto osoby, która go poddzierżawia.

Operatorowi telefonii komórkowej przypada od 45% do 49% kosztu SMS-a wysłanego na krótki numer, natomiast dostawca wydzierżawiający numer otrzymuje około 10%. Pozostała kwota jest przelewana poddzierżawcy - w tym przypadku szkodliwemu użytkownikowi.

Podsumowując, analitycy zauważają, że pierwsza połowa 2008 roku stanowiła pierwszy okres, w którym nastąpił znaczny wzrost liczby szkodliwych programów dla telefonów komórkowych wysyłających wiadomości SMS na krótkie numery bez wiedzy właściciela telefonu. Nie ma wątpliwości, że programy te zostały stworzone w jednym celu: w celu zarobienia pieniędzy z wykorzystaniem krótkich numerów, a dokładnie, wiadomości SMS ukradkowo wysyłanych na te numery. Ponieważ programy te można łatwo tworzyć i rozprzestrzeniać, w drugiej połowie 2008 roku może mieć miejsce stały wzrost liczby szkodliwych programów wykazujących zachowanie Trojan-SMS.

Trojany atakujące gry: gra trwa

Jednym z wyraźnych trendów, jakie Kaspersky Lab zaobserwował w zeszłym roku, był znaczny wzrost liczby nowych szkodliwych programów tworzonych w celu kradzieży haseł do gier online. Trend ten utrzymał się w pierwszej połowie 2008 roku - w okresie tym wykryto 49 094 nowych trojanów atakujących gry. Jest to o 1,5 razy więcej niż liczba podobnych trojanów wykrytych w 2007 roku oraz o 264,6% więcej niż liczba takich trojanów wykrytych w poprzednim półroczu.

95% nowych trojanów atakujących gry, wykrytych w pierwszej połowie 2008 roku, kradnie hasła do więcej niż jednej gry online. Takie trojany obejmują programy z rodziny Trojan-PSW.Win32.OnLineGames oraz Trojan-PSW.Win32.Magania.

Rodzina OnLineGames jest najliczniejszą rodziną trojanów atakujących gry, stanowiącą 57,6% wszystkich takich trojanów. Liczba szkodliwych programów z tej rodziny znacznie wzrosła w pierwszej połowie 2008 roku, przewyższając wzrost liczby trojanów kradnących hasła do jednej gry onlie.

Trojany z rodziny Magania są interesujące z tego względu, że atakują użytkowników jednego popularnego portalu. Chociaż w maju popularność tej rodziny zaczęła szybko spadać z powodu zamknięcia kilku światów online na tym portalu (łącznie z MapleStory), do końca pierwszego półrocza stanowiła ona 37,4% wszystkich nowych trojanów atakujących gry.