СМС-вирус угрожает пользователям Android
15 октября 2014 года
В июне 2014 года специалистами по информационной безопасности был обнаружен СМС-троян Selfmite.a. Он отправлял ссылку на установщик APK-файла с вредоносным кодом, первым 20 контактам в телефонной книге.
Новая версия трояна для Android Selfmite.b распространяется и опустошает кошелёк пользователя с большей агрессией. Selfmite.b тоже является СМС-червём с аналогичной функциональностью, но имеет другой подход. Его код вводится в троянскую версию законного Google Plus, которое появляется после вредоносной установки. Это первое отличие от начальной версии Selfmite. Во-вторых, Selfmite.b использует конфигурационный файл, который загружается червем по hxxp: //209.190.28.50/setting.php, где и содержится СМС, URL и другие данные.
Selfmite.b отправляет сообщения всем контактам, и делает это по кругу, говорят в компании AdaptiveMobile. Червь использует СМС текст «Привет, приятель, попробуй это. http: //x.co/5****» или «Эй, попробуй это, это очень круто. http: // х.co / 5 ****», т.е. ссылку на файл APK, сокращённую при помощи сервиса x.co. Эксперты считают, что в будущем авторы вируса могут использовать и другой сервис. После того как пользователь скачает и установит файл, Selfmite.b заражает систему и приступает к рассылке сообщений, содержащих вредоносную ссылку, по всем контактам пользователя.
По сравнению с первой версией этот вирус генерирует в 100 раз больше трафика, и в среднем с одного устройства отправляется 1500 сообщений. Если пользователь не имеет безлимитных СМС, это может стоить немалых денег. Кроме того, есть опасность быть заблокированным за спам.
Аналитик AdaptiveMobile, Денис Масленников утверждает:
 | По нашим данным, Selfmite.b ответственен за рассылку свыше 150 тысяч сообщений за последние десять дней с чуть более ста зараженных устройств. |  |
Создатели вируса не только разоряют пользователей Andriod, но и зарабатывают сами. Главная цель Selfmite — приносить доход своим создателям по модели PPI (Pay-Per-Install), рекламируя различные приложения и сервисы. Помимо СМС-рассылок Selfmite создаёт два ярлыка, на Mobogenie и Mobo Market, нажав на которые пользователь переходит на веб-сайты с платными услугами и приложениям. В этой версии вируса создатели отслеживают IP адрес жертвы, и в зависимости от его местоположения (страны) открывается тот или иной сайт. Также они получают доход за счёт несанкционированного показа рекламы в браузере телефона. Когда пользователь нажимает на троянское приложение Google Play, Selfmite пытается указывать на конкретное приложение в Google Play (какое именно, зависит от текущего файла конфигурации). Когда же пользователь выходит из Google Play, в браузере открывается нежелательный сайт подписки.
Не только пользователи ОС Android страдают от этого вируса. Если по ссылке в СМС перейдёт пользователь iOS-гаджета, то его перенаправляют на одно из фитнес-приложений в App Store.
В AdaptiveMobile пишут, что они сообщили Go Daddy о вредоносных URL-адресах x.co и на данный момент они были деактивированы. Но авторы червя смогут изменить удаленно используемый файл конфигурации, что может вызвать сложности по борьбе с ним.
Selfmite.a в основном угрожал пользователям Andriod в Северной Америке, но Selfmite.b был найден на Android-устройствах как минимум в 16 странах, включая такие крупные как Россия, Канада, Китай, Индия.
По состоянию на 14 октября 2014 года обнаружено более 200 заражённых устройств. В AdaptiveMobile сообщают, что изменений в файле setting.php, откуда и берёт всю информацию вирус, не обнаружено. Там располагаются URL-адреса, которые были заблокированы. Таким образом червь не может распространяться дальше, если, конечно, адреса не было изменены.
Источники[править]
- Денис Масленников «Take Two: Selfmite.b Hits the Road». , 8 октября 2014 года. (архив)
- Денис Масленников «Selfmite.b: Follow-up and Update». , 14 октября 2014 года. (архив)
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
