Szkodliwe programy mobilne 2012

Przeczytaj także: Nowy trojan Vidro na urządzenia mobilne z Androidem

Jedna wersja Carberpa zmieniała stronę docelową systemu bankowości online jednego z rosyjskich banków. Użytkowników proszono o pobranie i zainstalowanie programu, który był rzekomo niezbędny do uzyskania dostępu do systemu. Użytkownicy mogli wybrać sposób otrzymania odsyłacza do programu za pośrednictwem wiadomości tekstowej: podając wcześniej swój numer telefonu lub skanując kod QR.

Odsyłacz w tym przykładzie prowadził do aplikacji AberSafe, pod którą w rzeczywistości krył się Trojan-Spy.AndroidOS.Citmo, który znalazł się w sklepie Google Play w ciągu dwóch tygodni.

Po uruchomieniu szkodliwego programu potencjalne ofiary były proszone o podanie swojego numeru telefonu. Numery były zapisywane w pliku auth.txt i wysyłane na zdalny serwer prowadzony przez szkodliwych użytkowników. Po jakimś czasie użytkownicy otrzymywali wiadomość tekstową z pięciocyfrowym kodem, który należało wpisać w aplikacji. Kod ten był zapisywany w pliku authcode.txt i wykorzystywany wraz z numerem telefonu jako numer identyfikacyjny danych, który szkodnik wysyłał następnie do zdalnego serwera.

Podczas ataku i kradzieży kodów mTAN trojan musiał ukrywać wiadomości przychodzące z systemu bankowości online. W przeciwnym razie, gdy szkodliwi użytkownicy próbowaliby przelać środki z konta, takie wiadomości wzbudziłyby ich podejrzenia.

CitMo pobierał informacje z serwera szkodliwych użytkowników o numerach związanych z przychodzącymi wiadomościami tekstowymi, które musiały być ukryte. Przesyłał te dane na zdalny serwer (zapisane w pliku hide.txt) wraz z danymi dotyczącymi numerów związanych z wiadomościami przychodzącymi, które nie musiały być ukrywane (zapisane w pliku view.txt). Po otrzymaniu przychodzącej wiadomości tekstowej CitMo sprawdzał nadawcę. Jeżeli dane nadawcy znajdowały się na liście ukryj, wtedy wiadomość była ukrywana i zapisywana w pliku messages.txt, który był wysyłany do zdalnego serwera szkodliwych użytkowników.

Trojany SMS

Najpowszechniejsze metody stosowane przez szkodliwych użytkowników w celu zarabiania na mobilnych zagrożeniach wciąż ewoluują. Jeszcze w 2011 roku jednym z najbardziej interesujących trendów było pojawienie się trojanów SMS atakujących użytkowników w Europie i Ameryce Północnej. W 2012 roku Kaspersky Lab wykrył programy afiliacyjne wykorzystywane do rozprzestrzeniania trojanów SMS wśród użytkowników w tych samych regionach. Programy afiliacyjne, jak dobrze wiadomo, stanowią jedne z najbardziej skutecznych narzędzi tworzenia, rozprzestrzeniania i zarabiania na szkodliwych programach.

W 2012 roku została wykryta rodzina trojanów SMS dla Androida (o nazwie Vidro) atakująca głównie użytkowników z Polski. Trojan ten nie wyróżniał się niczym szczególnym na tle innych z wyjątkiem jednego małego szczegółu: zagrożenie to rozprzestrzeniało się za pośrednictwem stron zawierających treści dla dorosłych związanych z mobilnymi programami afiliacyjnymi, które zarabiały na ruchu związanym z treściami dla dorosłych.

Zagrożenie to było pobierane ze szkodliwej domeny vid4droid.com. Domena ta była kontrolowana przez dwa serwery nazw o adresie carmunity.de oraz serwer pocztowy vid4droid.com na tecmedia.eu. Istnieje kilka hostów (m.in. sex-goes-mobile.biz, sexgoesmobile.biz, sexgoesmobil.com) gdzie serwery nazw i poczty są takie same jak na vid4droid.com. Gdyby potencjalna ofiara odwiedziła jeden z nich, zostałaby przekierowana do sexgoesmobile.com. Strona ta została stworzona w ramach programu afiliacyjnego w celu zarabiania na ruchu związanym z treściami dla dorosłych generowanym z urządzeń mobilnych.

Wiele mobilnych programów afiliacyjnych (przynajmniej te rosyjskie) oferuje pełny dostęp do tzw. narzędzi promocyjnych dla wszystkich swoich uczestników i SexGoesMobile nie jest tutaj wyjątkiem. Każdy uczestnik SexGoesMobile posiada numer identyfikacyjny. Uczestnik może stworzyć mobilną stronę przy użyciu gotowego szablonu (każdy szablon posiada własną nazwę domeny) i wygenerować unikatowy adres URL z własnym numerem identyfikacyjnym, który następnie prowadzi do vid4droid.com, i umieścić ten adres URL na swojej stronie.

Jak tylko potencjalna ofiara kliknie jedną z takich standardowych stron, zostanie przekierowana do vid4droid.com. Jednocześnie, na zdalnym serwerze zostanie wygenerowany na podstawie informacji referrera unikatowy ciąg liter i liczb (unikatowy adres URL i numer identyfikacyjny uczestnika). Strona zachęci następnie użytkowników do pobrania rzekomej aplikacji związanej z treściami dla dorosłych (vid4droid.com), która w rzeczywistości stanowi trojana Vidro.

Po zainstalowaniu się na urządzeniu mobilnym trojan ten wysyła wiadomość tekstową na płatny numer w Polsce72908 zawierającą tekst „ZAPŁAĆ {unikatowa sekwencja liter i liczb}” – ta sama unikatowa sekwencja liter i liczb jak ta wygenerowana przy użyciu adresu URL i numeru identyfikacyjnego uczestnika. W ten sposób każdy uczestnik programu afiliacyjnego ukradł pieniądze użytkownika przy użyciu „własnego” trojana SMS, który wysyłał wiadomości tekstowe zawierające unikatowy ciąg. Pojawienie się podobnych programów afiliacyjnych poza Rosją i Ukrainą wskazuje na istnienie w pełni rozwiniętego przemysłu mobilnego szkodliwego oprogramowania – nie tylko w Rosji ale również w innych państwach.