Szkodliwe programy mobilne 2010

Przeczytaj także: Szkodliwe programy mobilne 2013

Trojan.WinCE.Terdial

W 2010 roku po raz pierwszy wykryto trojana wykonującego połączenia na numery międzynarodowe. Pod koniec marca na wielu międzynarodowych stronach internetowych oferujących darmowe oprogramowanie dla smartfonów z systemem Windows Mobile pojawiła się nowa gra o nazwie 3D Anti-Terrorist. Oprócz samej gry spakowany ZIP-em folder o rozmiarze 1,5MB zawierał również plik o nazwie reg.exe, który w rzeczywistości był trojanem (wykrywanym jako Trojan.WinCE.Terdial.a) wykonującym płatne połączenia międzynarodowe.

Po zainstalowaniu i uruchomieniu pliku antiterrorist3d.cab w folderze Pliki programów instalowała się gra, a w folderze systemowy m - kopia 5 632-bajtowego szkodliwego pliku reg.exe pod nazwą smart32.exe.

Bardziej szczegółowa analiza kodu tego zagrożenia ujawniła następujące fakty:

• Szkodnik został stworzony przez rosyjskojęzycznych cyberprzestępców
• Zagrożenie wykorzystywało funkcję automatycznego uruchamiania CeRunAPpAtTime
• Po pierwszym uruchomieniu się każdego miesiąca trojan realizował połączenia z 6 różnymi numerami o podwyższonej opłacie.

• +882******7 – Sieci międzynarodowe
• +1767******1 – Republika Dominikany
• +882*******4 - Sieci międzynarodowe
• +252*******1 - Somalia
• +239******1 - San Tomé oraz Príncipe
• +881********3 – Globalny satelitarny system mobilny

W celu rozprzestrzeniania tego szkodnika jego autor wykorzystywał stosunkowo popularną i legalną grę, 3D Anti-Terrorist, która została opracowana przez chińską firmę Huike. Wielu użytkowników Internetu instaluje darmowe lub “zhakowane” oprogramowanie, o czym doskonale wiedzą cyberprzestępcy, którzy pod przykrywką legalnych plików umieszczają na stronach oferujących zhakowane oprogramowanie swoje szkodliwe programy. Właśnie to miało miejsce w opisywanym incydencie. Niestety, w przyszłości będziemy świadkami podobnych incydentów.

iPhone

W poprzednim podsumowaniu ewolucji mobilnego szkodliwego oprogramowania przewidywaliśmy, że na infekcję będą narażone tylko te iPhony, na których przeprowadzono jailbreak lub zainstalowano aplikacje z nieoficjalnych źródeł. Nasze prognozy okazały się słuszne.

Net-Worm.IphoneOS.Ike

Na początku listopada 2010 roku wykryto pierwszego robaka dla iPhone’a, któremu nadano nazwę Net-Worm.IphoneOS.Ike.a. Na ryzyko infekcji narażeni byli użytkownicy, którzy dokonali jailbreaka swojego iPhone’a lub iPoda Touch bez zmiany domyślnego hasła SSH. Robak ten nie wyrządzał żadnych poważniejszych szkód swoim ofiarom: oprócz podmieniania tapety smartfonów na zdjęcie gwiazdy muzyki z lat 80 - Ricka Astleya - nie wykonywał żadnych innych działań.

Jednak już kilka tygodni później wykryto nowego robaka atakującego iPhone’a: Net-Worm.IphoneOS.Ike.b. Szkodnik ten kradł dane użytkownika i umożliwiał cyberprzestępcom przejęcie zdalnej kontroli nad zainfekowanymi smartfonami. Ten konkretny wariant atakował również użytkowników tylko tych iPhone’ów oraz iPodów Touch, na których przeprowadzono jailbreak, w przypadku gdy nie zostało zmienione domyślne hasło SSH.