Szkodliwe programy mobilne 2010

Przeczytaj także: Szkodliwe programy mobilne 2013

Ofiarą ataków tego robaka padły również osoby korzystające z usług internetowych holenderskiego banku ING Direct. Klienci tego banku, którzy próbowali wejść na jego stronę z iPhone’a zainfekowanego tym szkodnikiem, byli przekierowywani na stronę phishingową. Wprowadzone na niej dane trafiały do szkodliwych użytkowników.

Android

Platforma Android, która zdobyła znaczący udział w rynku, przez pewien czas nie cieszyła się dużym zainteresowaniem twórców wirusów. Jednak wszystko zmieniło się w sierpniu 2010 roku, gdy wykryto pierwsze szkodliwe oprogramowanie atakujące ten system operacyjny. Od tego czasu pojawiały się zarówno nowe warianty tego zagrożenia jak i inne szkodliwe programy atakujące Androida – w sumie zarejestrowano siedem rodzin.

Trojan-SMS.AndroidOS.FakePlayer

Jak już zauważyliśmy, pierwszym wykrytym na wolności szkodliwym programem dla smartfone’ów z Androidem był Trojan-SMS.AndroidOS.FakePlayer, który został zidentyfikowany na początku sierpnia 2010 r.

Niestety nie można powiedzieć nic konkretnego o sposobie rozprzestrzeniania się pierwszej wersji tego trojana. Pewne jest tylko to, że FakePlayer nie rozprzestrzeniał się za pośrednictwem Android Marketu, czyli oficjalnego sklepu Google.

Natychmiast po uruchomieniu się na zainfekowanym telefonie użytkownika trojan ten wysyłał trzy wiadomości tekstowe na dwa krótkie rosyjskie numery.

Drugi wariant trojana Trojan-SMS.AndroidOS.FakePlayer pojawił się na początku września 2010 r., mniej więcej miesiąc po wykryciu pierwszego. Jednak jego główna funkcja niewiele się zmieniła. Wykrycie drugiej wersji FakePlayera rzuciło nieco światła na jego sposób rozprzestrzeniania się. Jak wiemy, twórcy wirusów często wykorzystują do rozprzestrzeniania szkodliwych programów zainteresowanie materiałami pornograficznymi. Takie treści odegrały dużą rolę również w rozprzestrzenianiu programu FakePlayer.

Obecnie właściciele rosyjskich stron zawierających płatne treści dla dorosłych oferują odwiedzającym szybki dostęp do zawartości serwisu przy pomocy urządzeń mobilnych: użytkownik wysyła wiadomość SMS o określonej treści na numer o podwyższonej opłacie, a następnie otrzymuje kod dostępu, który ma podać na głównej stronie serwisu.

Wiadomość, poprzez którą dostarczono opłatę za materiał zawierający treści dla dorosłych, została wysłana przez program Trojan-SMS.AndroidOS.FakePlayer nie raz ale cztery razy w krótkim odstępie czasu. Pozostaje pytanie: w jaki sposób trojan ten przedostał się do telefonów komórkowych użytkowników?

Wielu użytkowników trafia na strony z treściami dla dorosłych poprzez wyszukiwarki. Właściciele zasobów prezentujących treści pornograficzne, które wykorzystują program Trojan-SMS.AndroidOS.FakePlayer, stosowali również metody SEO, tak aby odsyłacze do ich stron znalazły się na wyższych pozycjach list wyników wyszukiwania dla popularnych żądań związanych z treściami dla dorosłych.

Jeżeli użytkownik korzystał z komputera osobistego, mógł mieć miejsce następujący scenariusz:

Użytkownik szukający treści z kategorii materiałów dla dorosłych został przekierowywany na stronę pornograficzną; następnie wysłał wiadomość tekstową w celu otrzymania kodu dostępu i przeglądał zawartość strony.

A co się działo, jeżeli ktoś przeglądał strony internetowe za pośrednictwem urządzenia przenośnego, takiego jak smartfon z platformą Android?

Pierwsze trzy kroki procesu były takie same, dalej jednak robi się znacznie ciekawiej. Po kliknięciu jednego z odsyłaczy “promowanych” przez właściciela strony w wynikach wyszukiwania zarządzany przez szkodliwego użytkownika zdalny serwer wysyłał żądanie HTTP, które zawierało między innymi ciąg Użytkownik-Agent (tj. zawierało informacje o aplikacji, systemie operacyjnym, języku itd.).

Następnie, zdalny serwer weryfikował ciąg Użytkownik-Agent. Jeżeli użytkownik odwiedził stronę za pośrednictwem przeglądarki dla komputerów stacjonarnych, zobaczył - zgodnie ze swoimi oczekiwaniami - stronę z treściami dla dorosłych. Jeśli jednak odwiedził stronę przy użyciu przeglądarki dla urządzeń mobilnych zainstalowanej na telefonie z Androidem, został poproszony o pobranie programu pornoplayer.apk, który znany jest również jako Trojan-SMS.AndroidOS.FakePlayer.

Sekwencja zdarzeń wyglądała następująco:

Użytkownik szukający czegoś z kategorii treści dla dorosłych był przekierowywany na stronę pornograficzną. Następnie był proszony o pobranie aplikacji pornoplayer.apk. Po pobraniu tego programu uruchamiał się trojan, który wysyłał cztery wiadomości tekstowe na płatne krótkie numery. Część pieniędzy trafiła do właściciela strony z treściami dla dorosłych. Naturalnie, dochód ten był nielegalny.

Analiza stron internetowych wykorzystywanych do rozprzestrzeniania FakePlayera wykazała, że cyberprzestępcy wykorzystywali geotargetowanie (tj. kierowanie treści dostosowanej względem lokalizacji internauty). W ten sposób mogli oni filtrować odwiedzających i oferować pobranie odtwarzacza pornoplayer.apk tylko użytkownikom posiadającym rosyjski adres IP.