"Лаборатория Касперского" обнаружила новое семейство троянцев для платформы Windows Mobile: Trojan-SMS.WinCE.Pocha. На данный момент экспертам известно три модификации данного зловреда. Он распространяется в виде установочных CAB файлов, содержащих и легальные приложения, например антивирусное ПО или Google Maps, и три зловредных объекта со следующими именами: viconect.exe, hide.exe, wmoff.exe. Эти файлы наносят урон, скрывая свою деятельность и отсылая SMS на премиум-номера. Помимо данных файлов, внутри архивов есть объекты hardware.dll и http.dll, которые осуществляют вспомогательную деятельность: выполняют http-запросы и системные вызовы.
При наличии на смартфоне или коммуникаторе доступа в Интернет троянец может обновлять номер и текст отсылаемого им сообщения. При этом, номер может быть любым. Уникальность данного вредоносного ПО в том, что с помощью механизма обновляемых сообщений его автор осуществляет мошенническую деятельность и шантаж. Такого на практике ещё не встречалось, отмечают эксперты. Они приводят примеры сообщений: %+795047*****%ВЕРНИ ДЕНЬГИ !!! %10%24%1%false% или %+38050******%Бойся! Я все знаю%11%11%1%false%. В данном случае номера вовсе не премиум, текст явно мошеннического содержания и в конце стоит время, с которого начнется рассылка и ее интервал (в данном случае сообщение будет рассылаться каждую минуту).
Учитывая, что стоимость сообщения на такие номера колеблется в пределах двух-трех рублей, то пользователь не сразу заметит утечку средств с его счета. В итоге зловред запускает чистое приложение (в зависимости от архива он запустит антивирус, или карты, или видеоплеер), которое лежит по соседству с троянцем в установочном файле, маскируясь таким образом. Из недостатков данного вредоносного ПО, которые, впрочем, могут сыграть на руку пользователю, можно отметить то, что приложение не имеет автозапуска, его способен запустить только пользователь после успешной установки. А он, увидев отсутствие оригинальной иконки (у Google Maps она точно должна быть), может усомниться в легальности приложения. Подводя итог, эксперты отметили, что появилась новая, весьма простая схема шантажа или запугивания пользователей. Вероятно, в ближайшем будущем мошенничество такого рода будет распространено.
Источник: Ferra
|