Home Công nghệ số Bảo mật Trojan SMS với tham vọng toàn cầu

Trojan SMS với tham vọng toàn cầu

SHARE
Sß phón bßæ -æßïa l cíc qußæc gia nhißàm Trojan-SMS.AndroidOS.FakeInst.ef

Kaspersky Lab đã phát hiện những SMS bắt đầu xuất hiện trên ngày càng nhiều quốc gia.

Sß phón bßæ -æßïa l cíc qußæc gia nhißàm Trojan-SMS.AndroidOS.FakeInst.ef

 

Một trong các ví dụ nổi bật là Trojan-SMS.AndroidOS.Stealer.a nằm trong 20 độc hại hàng đầu. Theo thống kê tình hình bảo mật trong Quý 1/2014 do thực hiện, Trojan-SMS.AndroidOS.FakeInst.ef nhắm mục tiêu đến người dùng tại 66 quốc gia bao gồm cả Mỹ.

Trojan-SMS.AndroidOS.Stealer.a gửi những tin nhắn ngắn đến các đầu số cao cấp tại 14 quốc gia trên thế giới. Trong khi đó, Trojan-SMS.AndroidOS.FakeInst.ef nhắm mục tiêu đến người dùng tại 66 quốc gia và đây là lần đầu tiên các chuyên gia Lab tìm thấy sự liên quan đến một Trojan SMS đang hoạt động tại Mỹ.

FakeInst được phát hiện bởi Kaspersky Lab vào tháng 2/2013 và kể từ đó đã xuất hiện 14 phiên bản khác nhau. Các phiên bản trước đó chỉ có khả năng gửi tin nhắn đến các số cao cấp tại Nga.

Theo thống kê của Kaspersky Lab, hầu hết các trường hợp nhiễm Trojan-SMS.AndroidOS.FakeInst.ef là ở Nga và Canada. FakeInst cải trang như là một ứng dụng xem video khiêu dâm. Ứng dụng này yêu cầu người dùng đồng ý gửi tin nhắn văn bản để mua nội dung. Tuy nhiên, sau khi gửi tin nhắn thì Trojan sẽ mở một trang web miễn phí truy cập.

Để gửi tin nhắn, Trojan giải mã một tập tin cấu hình có chứa tất cả số điện thoại và các tiền tố. Từ danh sách này, Fakelnst lựa chọn các đầu số và tiền tố thích hợp với mã di động quốc gia của người dùng (MCC). Ví dụ, đối với một MCC trong phạm vi 311-316 (tương ứng với Mỹ), Trojan sẽ gửi ba tin nhắn đến số 97605, chi phí khoảng 2 đô la Mỹ. 

Trojan cũng liên hệ với C&C của nó để được hướng dẫn thêm. Trong tất cả các lệnh mà nó có thể nhận và xử lý, các chuyên gia Kaspersky Lab muốn nhấn mạnh khả năng gửi một tin nhắn với nội dung cụ thể cho một số điện thoại được liệt kê trong lệnh C&C, và chặn tin nhắn đến. Trojan có thể làm những điều khác nhau với những tin nhắn đến – ăn cắp tất cả, xóa chúng, hoặc thậm chí phản hồi.

Theo Kaspersky Lab, FakeInst được tạo ra bởi tội phạm mạng nói tiếng Nga. Thứ nhất, phiên bản đầu tiên của nó đã được thiết kế chỉ để hoạt động ở Nga. Thứ hai, tất cả các máy chủ C&C của nó đã được đăng ký với nhà cung cấp và lưu trữ tại Nga. Hầu như tất cả các phiên bản của Trojan sử dụng hai máy chủ C&C sau đây: x-bt.in và y bt.in. Các URL đã được đăng ký bằng tên của Klimon Dmitriy Ivanovich, người đã khai Moscow như nơi mình cư trú và số điện thoại của Nga. Có vẻ như các tội phạm mạng đã xây dựng được đủ nguồn lực để mở rộng kinh doanh bất hợp pháp của họ trên quy mô toàn cầu.