Szkodliwe programy mobilne: ewolucja

Przeczytaj także: Życzenia świąteczne od cyberprzestępców

Worm.SymbOS.Yxe

Rok później, w styczniu 2009 roku, wykryliśmy nowy szkodliwy program dla telefonów komórkowych działających pod kontrolą Symbiana. Wydaje się, że nie jest to nic szczególnie nowego czy interesującego, jednak robak ten okazał się dość niezwykły.

Przez długi czas Worm.SymbOS.Yxe był pierwszą rodziną robaków dla Symbiana. Od poprzedników różnił się procedurą rozprzestrzeniania, gdyż rozprzestrzeniał się nie za pośrednictwem Bluetootha czy MMS-ów, ale SMS-ów!

Worm.SymbOS.Yxe wysyłał frywolne wiadomości do każdej osoby na liście kontaktów zainfekowanego telefonu. Wiadomości zawierały odsyłacz do strony internetowej (http://www*****.com/game), na której znajdowała się kopia robaka. Gdy użytkownik kliknął odsyłacz, znajdował zwykły pakiet instalacyjny systemu Symbian zawierający dwa pliki: plik wykonywalny oraz pomocniczy rsc. Jeżeli użytkownik wyraził zgodę na zainstalowanie aplikacji, robak po chwili zaczął wysyłać wiadomości SMS do kontaktów znajdujących się w zainfekowanym telefonie, tym samym generując zainfekowany ruch SMS-owy.

Chińskie media elektroniczne opublikowały wiele raportów na temat robaka Worm.SymbOS.Yxe. Na forach rozgorzały dyskusje: wielu ludzi skarżyło się, że otrzymali dziwne wiadomości SMS itd. W mediach pojawiły się doniesienia o wiadomościach zawierających pornograficzną treść i dziwny odsyłacz, wiadomościach wysyłanych bez autoryzacji do osób z listy kontaktów oraz opłatach pobieranych za wysłane SMS-y.


Robak wyróżnia się w jeszcze inny sposób. Został stworzony dla smartfonów działających pod kontrolą systemu Symbian S60, 3 edycja, i jest podpisany legalnym certyfikatem. To oznacza, że szkodnik ten może zostać zainstalowany na każdym telefonie działającym pod kontrolą tego systemu.

Według sygnatury certyfikat jest ważny przez dziesięć lat. Dochodzenie wykazało, że szkodliwe oprogramowanie przeszło automatyczną procedurę podpisu.

Trojan-SMS.Python.Flocker

Styczeń 2009 obfitował w wydarzenia związane z mobilnymi szkodliwymi programami. Oprócz robaka Yxe i exploita Curse of Silence wykrytych zostało kilka nowych wariantów trojana Trojan-SMS.Python.Flocker (.ab - .af).

Czym wyróżniało się tych sześć nowych modyfikacji? Zanim się pojawiły, wszystkie trojany SMS, jakie zidentyfikowaliśmy, były tworzone w byłym Związku Radzieckim i wysyłały wiadomości na krótkie numery należące do rosyjskich operatorów telefonii komórkowych.

Nowe warianty Flockera wysyłają wiadomości SMS na 151, krótki numer, który nie jest zarejestrowany w Rosji. Co więcej, wcześniej nie spotkaliśmy się z żadnymi 3-cyfrowymi krótkimi numerami.

W skrócie, istnieje kilka szkodliwych programów wysyłających podobne wiadomości tekstowe na ten sam krótki numer. Pojawia się stare pytanie: dokąd wędrują te pieniądze?

Na długo zanim wykryto nowe warianty Flockera, indonezyjska firma z branży telefonii komórkowej ogłosiła, że posiadacze określonego typu karty SIM mogą wysłać pieniądze ze swojego konta na konto dowolnej osoby, która posiada ten sam typ karty SIM. Aby wysłać pieniądze, należy wysłać na krótki numer 151 wiadomość o następującej treści "TP {numer telefonu odbiorcy#} {kwota w rupiach}".