7 maja 2008 roku Kaspersky Lab przeanalizował i dodał do bazy sygnatur szkodliwy program Trojan-SMS.J2ME.SMSi.a. Program został napisany przy użyciu Java 2 Micro Edition o profilu MIDP-2.0, co oznacza, że działa na większości telefonów komórkowych obsługujących Javę. Podstawową zasadą funkcjonowania programu jest wysyłanie wiadomości SMS na płatne, tzw. "premium" numery. W rezultacie przestępca otrzymuje część pieniężnych środków od wartości wysłanej wiadomości.

Koszt takich wiadomości, dla posiadacza zainfekowanego telefonu, waha się od 2.8 do 5 dolarów. Program trojański kamufluje się przybierając postać bezpiecznego oprogramowania, przy pomocy którego można wysyłać SMS-y na dowolny numer.



Fikcyjne oprogramowanie posiada rosyjskojęzyczny interfejs i skierowane jest do posiadaczy telefonów komórkowych byłych republik Związku Radzieckiego (Rosja, Ukraina, Litwa, Łotwa, Kazachstan, Tadżykistan).
Na forum www.74.ru jeden z użytkowników skutecznie promował to, jakże "przydatne" oprogramowanie. W swoich postach umieszczał linki do strony, przez którą przedostawał się wirus oraz bezpośrednie odnośniki do pobrania szkodnika.



Metody rozpowszechniania się szkodliwego kodu nie ograniczają się tylko do forum, jak w przypadku wszystkich poprzednich wirusów dla urządzeń przenośnych. W tej sytuacji pierwszym sposobem rozprzestrzeniania się szkodników na platformach mobilnych było wykorzystanie spamu za pośrednictwem ICQ. Oto przykład:



Treść wiadomości wyglądała następująco:
"Wyślij SMS z dowolnego numeru!
W każdej chwili, wprost ze swojej komórki!
Przedstawiamy nową aplikację przeznaczoną dla telefonów komórkowych, dzięki której na wyświetlaczu odbiorcy, do którego wyślesz wiadomość, pojawi się numer lub słowo, dowolnie przez Ciebie wybrane. Możesz w każdej chwili podszyć się pod inną osobę, albo pozostać zupełnie anonimowy.
Wystarczy wprowadzić numer, który chcesz aby wyświetlił się w telefonie odbiorcy, numer odbiorcy i treść wiadomości. Następnie program poprosi o potwierdzenie wysłania i automatycznie wyśle wiadomość.
Odbiorca otrzyma wiadomość od numeru, który zapisał w programie nadawca. Jeśli numer ten był wcześniej zapisany w jego telefonie, to automatycznie wyświetli się nazwa rzekomego nadawcy.
Zamiast numeru można wpisać dowolne słowo.
Program można wykorzystać na wiele sposobów, od niewinnych żartów po zawiązywanie intryg, prowokacji itp. Wszystko zależy od Twojej fantazji.
Program jest obsługiwany przez telefony wykorzystujące technologię Java. Aby wysłać wiadomość, niezbędny jest telefon zaopatrzony w standardowe funkcje wysyłania SMS. Program nie wymaga WAP i GPRS.
Bezpłatnie można go ściągnąć tutaj: http://***************"

W celu rozpropagowania aplikacji, została stworzona strona internetowa.



Oprócz samego programu, znalazły się na niej komentarze zachwyconych programem użytkowników. Oczywiście fikcyjne.



Na stronie z opisem programu znajduje się następująca informacja:
"iSMS to aplikacja Java przeznaczona dla telefonów komórkowych, z pomocą której można zmienić numer nadawcy wiadomości SMS na dowolnie wybrany przez siebie inny numer lub słowo.
Program jest obsługiwany przez telefony wykorzystujące technologię Java. Aby wysłać wiadomość niezbędny jest telefon zaopatrzony w standardowe funkcje wysyłania SMS. Program nie wymaga WAP i GPRS.

Bądź czujny. Nie ufaj wszystkim przychodzącym wiadomościom, a tym bardziej reklamom. Przed instalacją jakichkolwiek aplikacji na komputerze lub na komórce przeskanuj je programem antywirusowym z najnowszymi bazami sygnatur.








Program trojański dla telefonów obsługujących technologię Java.
Szkodliwa aplikacja funkcjonuje w formacie jar (możliwa nazwa - isms.jar).
Do niej załączony jest midlet MIDP-2.0 "iSMS".
Objętość pliku - 12 037 bajtów.


Rozprzestrzenianie i instalacja.

Aplikacja nie posiada własnego sposobu rozprzestrzeniania się. Aby urządzenie zostało zarażone, użytkownik powienien sam pobrać aplikację *.jar, również za pośrednictwem Bluetooth, a następnie uruchomić program. Program podszywa się pod oprogramowanie mające możliwość wysyłania wiadomości SMS "z dowolnego numeru". Szkodnik wyposażony jest w rosyjskojęzyczny interfejs.

Podczas wyboru kraju nadawcy wyświetla się następująca lista:
Rosja
Ukraina
Ukraina(Life:)
Kazachstan
Tadżykistan
Estonia
Litwa
Łotwa (Tele-2)
Łotwa (Lmt)

Program trojański informuje
iSMS - to unikalna aplikacja java mająca za zadanie wysyłać wiadomości SMS z dowolnego numeru.
W polu wprowadzenia "numeru nadawcy" może się wyświetlać zarówno numer telefonu (w międzynarodowym formacie), jak i dowolne słowo, np. "123456789" lub "Boss". W polu wprowadzenia "numeru odbiorcy" wymagane jest podanie numeru telefonu adresata (w międzynarodowym formacie). Aby zwiększyć długość wiadomości wymagane jest użycie łacińskich znaków.

Program informuje również o zasadach wysyłania wiadomości SMS
Zabrania się wysyłania wiadomości łamiących prawo, naruszających honor i godność osobistą, fałszywych i oszczerczych, o treściach nawołujących do przemocy wobec osoby lub grupy osób, nawołujących do nielegalnej działalności, w tym także do produkcji materiałów wybuchowych, broni i narkotyków. Zabronione jest również posługiwanie się znakami handlowymi firm (także operatorów sieci komórkowych) bez ich zgody.
Jeśli któraś z tych reguł zostanie złamana, wówczas wiadomość może nie zostać doręczona.

Archiwum zawiera następujące pliki:
* ISms.class - główna klasa programu trojańskiego, odpowiedzialna za wysyłanie wiadomości SMS (2 814 bajtów);
* logo.png - plik obrazu (983 bajtów);
* CoCanvas.class - (3 709 bajtów);
* LogoCanvas.class - (1 933 bajtów);
* MyCanvas.class - (11 005 bajtów);
* e.png - plik obrazu (182 bajtów);
* i.png - plik obrazu (178 bajtów);
* Sms.png - ikona aplikacji (153 bajtów);
* Info.txt - plik tekstowy (179 bajtów);
Plik Sms.png zawiera obraz (ikona aplikacji):
Plik logo.png zawiera obraz:



PlikInfo.txt zawiera następująca informację:
iSMS - Aplikacja Java do wysyłania wiadomości SMS z dowolnego numeru.



Szkodliwy program wysyła wiadomości SMS na płatne numery. W rezultacie z konta użytkownika podejmowane są środki, część których przesyłana jest na konto autora programu.


Jak pozbyć się aplikacji?

Program można usunąć przy pomocy panelu sterowania. Aby w całości usunąć trojana z systemu operacyjnego należy zamknąć program, a następnie usunąć plik jar.


źródło: av-school.ru