Stfw.RuSMS-троян атакует Билайн
Неизвестные злоумышленники распространяют среди абонентов Вымпелкома новую вредоносную программу для кражи средств с мобильных счетов.
🕛 25.01.2011, 11:53
Эксперты рынка отмечают рост мобильных угроз по мере того, как все большее количество абонентов начинают использовать дополнительные услуги сотовых операторов.Новый SMS-троянец попадает в телефон абонента "Билайна" под видом ссылки якобы на MMS-открытку. Однако вместо открытки в телефон пользователя загружается вредоносный код, который начинает отсылать SMS на номера 3116 и 8464. В компании "Вымпелком" подтвердили факт использования троянской программой алгоритма работы услуги "Моби.Деньги", однако отметили, что "Моби.Деньги" - не единственная услуга, которая может быть подвержена атаке с помощью нового троянца.
"Java-приложение может отослать SMS на другие сервисы мобильной коммерции, а не только на "Моби.Деньги", - сказала пресс-секретарь "Вымпелкома" Анна Айбашева, однако она не уточнила, какие еще сервисы мобильной коммерции могут быть атакованы. Пока известно только об одной версии троянца, которая использует короткие номера, принадлежащие "Билайн".
По данным ведущего вирусного аналитика "Лаборатории Касперского" Дениса Масленникова, стоимость SMS на эти номера равна нулю, однако они используются для перевода средств с одного мобильного счета на другой. Именно так, пользуясь особенностями сервиса "Билайна", мошенники похищают деньги.
В компании "МегаФон" https://stfw.ru/ сообщили, что данная угроза не способна причинить вред их абонентам. Получить оперативный комментарий компании МТС не удалось.
"Если загрузить и запустить данный файл, то на экране появится сообщение, предлагающее посмотреть "открытку". Если пользователь нажмет "Да", то вредоносная программа попытается отправить сообщения: первое - на номер 3116 с текстом "9654*****2 200"; второе - на номер 8464 с текстом "1", - рассказал Масленников. Эксперт пояснил, что первое сообщение служит для перевода денег со счета зараженного телефона на счет телефона злоумышленника, второе - для подтверждения перевода.
Услуга, позволяющая переводить деньги через короткий номер 3116 на мобильные счета других сотовых операторов, а также на банковские карты, счета и отделения системы переводов доступна только абонентам "Вымпелкома" (торговый знак "Билайн"). Собственное испытание системы корреспондентами https://stfw.ru/ показало, что для перевода суммы действительно необходимо отправить одно SMS на номер 3116 и одно (c подтверждением в виде цифры "1") - на 8464. Никаких дополнительных аутентификационных кодов вводить не требуется.
Для биллинговой системы сотового оператора этот процесс выглядит как вполне легитимный платеж, а не действия троянской программы.
Троянец работает на всех телефонах, поддерживающих запуск J2ME-программ. В этот список входит большинство как бюджетных мобильных телефонов, так и смартфонов.
"Вымпелком" выпустил пресс-релиз, в котором компания предупреждает о возможности подобной атаки.
"Чтобы не стать их жертвой и не потерять деньги, мы рекомендуем нашим абонентам весьма осторожно относиться к публикации своих данных на различных Интернет-ресурсах (например, на сайтах знакомств), а также не открывать приложения, пришедшие под видом электронных поздравлений, подарков, фотографий с незнакомых телефонных номеров", - сообщается в пресс-релизе.
Как сообщила Айбашева, "Вымпелком" ограничил количество транзакций для перевода средств с номера на номер тремя транзакциями в сутки. "Это позволит нам потенциально снизить потери абонентов, не закрывая для них полностью возможность пользования сервисом перевода денежных средств", - сказала Айбашева.
Представитель "Билайн" также рассказала, что в компании имеются спам-фильтры, которые позволяет отсекать порядка 8-10 миллионов "мусорных" сообщений в месяц. Однако, поскольку у "Билайна" есть ряд тарифных планов, которые включают большие SMS-пакеты, то зафиксировать массовую рассылку SMS именно от мошенников удается не сразу.
"Первым сигналом для нас становится обращение самого абонента - мы сразу проверяем номер и блокируем его при необходимости. Именно поэтому призываем всех абонентов сообщать нам номера мошенников для того, чтобы мы совместными усилиями могли остановить эту волну", - сказала Айбашева.
"Вы также можете воспользоваться услугой "Черно-белые списки", которая есть у нашей компании. Если вы внесете данный номер в разряд "Черных", то таким образом заблокируете возможность отправки SMS на данный номер", - добавила представитель "Вымпелкома". Эта услуга также позволяет запретить отправку SMS на все короткие номера. Услуга подключается бесплатно.
Старый новый метод
По словам эксперта "Лаборатории Касперского", данный метод не является новым. Около года назад специалисты "Лаборатории" обнаружили троянскую программу, действовавшую идентичным образом в сетях сотового оператора в Индонезии.
Руководитель Центра антивирусных исследований компании ESET Александр Матросов сказал, что с технологической точки зрения данный троянец был реализован достаточно стандартно. А вот схема монетизации у создателей этого вредоносного ПО нетипичная для такого рода программ.
"Это связано с тем, что киберпреступники ищут новые пути пополнения своих карманов, так как в последнее время со стороны самих мобильных операторов стали предприниматься активные действия по предотвращению мошенничества с использованием коротких номеров", - пояснил эксперт.
Ранее, используя подобные мошеннические схемы, злоумышленники применяли premium-SMS. Через не чистоплотных партнеров сотовых операторов они брали в аренду платный короткий номер и использовали для получения денег от жертв мошенничества до тех пор, пока о факте мошенничества не становилось известно, и номер не блокировался оператором. Теперь мошенники используют не только их, однако рассылки на premium-номера остались в арсенале злоумышленников, утверждают в "Лаборатории Касперского".
"По-прежнему вредоносные программы, отправляющие SMS-сообщения на короткие платные номера, преобладают. Просто злоумышленники при появлении новых сервисов очень часто пытаются использовать их нелегально, как в данном случае", - сказал Масленников.
Блокираторы Windows
"Вымпелком" также сообщил о появлении новых версий так называемых вирусов-блокираторов, которые не требуют отсылать SMS на платный номер, но требуют пополнить мобильный счет абонента "Билайн" в ближайшем пункте приема оплаты. После этого, по обещаниям мошенников, на телефон придет SMS c кодом разблокировки, либо на чеке об оплате будет указан код, который нужно будет ввести в систему для устранения вируса-блокиратора. "Вымпелком" сообщает, что попытки использовать код в качестве кода разблокировки ни к чему не приведут, поскольку являются уловкой мошенников.
Изменения в предпочтениях злоумышленников при выборе способа монетизации отмечают и в компании "Доктор Веб".
"Особенность новых модификаций Trojan.Winlock в том, что чаще всего злоумышленники просят пополнить счет определенного абонента, отказавшись от использования сервисных коротких номеров", - сказал руководитель отдела антивирусных разработок и исследований компании "Доктор Веб" Сергей Комаров. Он также сказал, что встречаются экземпляры вредоносного ПО, которые не имеют кодов разблокировки вовсе.
В "МегаФоне", хоть все еще регистрируют жалобы на вирусы типа Winlock, не считают, что они носят массовый характер. По словам Татьяны Ивановой, более актуальной на текущий момент является схема мошенничества с некорректным указанием на сайте стоимости и количества SMS, необходимых для получения сервиса.
"Например, в декабре жалобы на данный вид мошенничества составили 20% от всех жалоб на работу контент-провайдеров. Тенденцией второго полугодия 2010 года стал рост мошенничества в социальных сетях (9% от всех жалоб на работу контент-провайдеров)", - рассказала Иванова. По ее словам, при этой схеме пользователь переадресовывается не на сайт социальной сети, а на мошеннический сайт, или предлагающий различные праздничные (ко Дню рождения, Новому году, 4-летию сети) "бесплатные" сервисы в качестве подарка, или требующий подтверждения, что пользователь не является ботом. Во всех случаях абоненту предлагается отправить SMS на premium-номер.
Мобильные угрозы стали одной из самых распространенных киберугроз в 2010 году, считают в ESET.
"За 2010 год аналитики ESET зафиксировали значительное увеличение числа мобильных угроз относительно прошлых лет, причем наиболее привлекательной для злоумышленников по-прежнему является платформа Symbian, за счет ее широкой распространённости", - сказал Александр Матросов. Но в 2011 году, по его словам, появится большое количество угроз и для платформы Android.
"Она набирает популярность большими темпами не только среди пользователей, но и среди киберпреступников тоже", - сообщил эксперт.