aktualności

Nowy szkodnik okrada posiadaczy smartfonów z Androidem

13 grudnia 2012, 14:33 Marek Kowalski

Błyskawicznie wyczerpany limit lub bardzo wysoki rachunek za połączenia - to niemiła niespodzianka, która za sprawą siejącego spustoszenie w portfelach zaatakowanych użytkowników szkodnika, może spotkać posiadaczy smartfonów działających pod kontrolą systemu Android.

Informacje o nowym zagrożeniu otrzymaliśmy od analityków zagrożeń w firmie ESET, produkującej popularne w naszym kraju oprogramowanie ochronne (m.in. ESET Smart Security, ESET NOD32 Antivirus). Szkodnik atakujący użytkowników smartfonów z Androidem to koń trojański Boxer.AA. Telefon, który zostanie zainfekowany automatycznie, oczywiście bez wiedzy, a tym bardziej zgody posiadacza smartfonu, rozsyła wiadomości SMS na numery o podwyższonej opłacie. Cały proces odbywa się w pełni automatycznie i jest niewidoczny dla użytkownika, dopóki nie wyczerpią się środki nabite na konto przedpłacone lub nie przyjdzie rachunek (zwykle bardzo wysoki) do abonenta zawierający informacje o nigdy nie zamawianych usługach premium.

Boxer.AA. nie jest zagrożeniem bardzo nowym, jest jednak bardzo niebezpieczny, a jego zasięg oddziaływania obejmuje już 63 kraje świata, z tego 60 procent infekcji zarejestrowano na terenie Europy. 

Złośliwy kod przenika do telefonu wykorzystując brak świadomości zagrożeń i naiwność wielu użytkowników. Droga infekcji przebiega najczęściej w taki sposób, że podczas przeglądania internetu za pomocą mobilnej przeglądarki użytkownik trafia na witrynę zawierającą aplikacje mobilne celowo zarażone trojanem. Oczywiście programy-nosiciele trojana nie mają najczęściej nic wspólnego z wysyłaniem wiadomości. Użytkownicy są najczęściej mamieni obietnicami darmowego dostępu do nielegalnych kopii popularnych gier na platformę Android, tj. Need for Speed Shift, Sim City Deluxe czy Assassin Creed. Co ciekawe eksperci z laboratorium antywirusowego odnotowali, że przez krótki czas zainfekowane aplikacje były dostępne również w oficjalnym sklepie Google Play, zostały jednak z stamtąd szybko usunięcie. Martwi jednak fakt, że w ogóle tam trafiły...

Samo pobranie aplikacji zawierającej trojana Boxer.AA nie powoduje jeszcze żadnego szkodliwego działania, proces infekcji jest inicjowany przez użytkownika, który próbuje za pomocą zapisanego już w pamięci telefonu "programu" pobrać nielegalną kopię interesującej go gry. Przed rozpoczęciem pobierania wyświetlany jest mętny komunikat informujący, że za uzyskanie dostępu do danej zawartości użytkownik zostanie obciążony opłatą uiszczoną za pośrednictwem wiadomości SMS o podwyższonej opłacie. W umowie niefrasobliwie potwierdzanej przez wielu użytkowników jest również zapis dotyczący wyłączenia odpowiedzialności twórcy aplikacji za szkody wyrządzone przez program, w tym straty finansowe.

Kamil Sadkowski, analityk zagrożeń firmy ESET tak opisuje zagrożenie: "Po zagnieżdżeniu się w pamięci telefonu Trojan Boxer.AA identyfikuje kody MCC (Mobile Country Code) oraz MNC (Mobile Network Code), dzięki którym wie, w jakim kraju i z jakiej sieci korzysta jego ofiara. Następnie Boxer.AA koreluje wspomniane kody z numerem telefonicznym, na który przesyła wiadomość SMS premium (...) Trojan zaciera wszelkie ślady swojej aktywności, ukrywając przed użytkownikiem m.in. wiadomości potwierdzające aktywację usługi dla danego numeru premium. Boxer.AA próbuje również wykorzystać połączenie z Internetem, aby dotrzeć do jednego z dwóch adresów WWW, dzięki którym trojan może zapisać swoją ofiarę do kolejnej usługi premium. 

Zasadę działania Boxer.AA i podobnych mu zagrożeń o analogicznym mechanizmie działania obrazuje poniższa infografika:

 

W naszym kraju szkodnik wykorzystuje numer 92505. Jedna wiadomość SMS wysłana na ten numer premium kosztuje 25 zł + VAT.

Jak ustrzec się przez tego typu zagrożeniami? Najprostszy sposób to zastrzeżenie u operatora możliwości wysyłania z telefonu wiadomości typu SMS Premium. Jeżeli ktoś jednak korzysta z takich usług (np. w mikropłatnościach), innym rozwiązaniem jest instalacja na smartfonie aplikacji ochronnej. Obecnie niemal wszyscy liczący się producenci oprogramowania antywirusowego oferują mobilne wersje swoich narzędzi - również dla platformy Android. Oczywiście eksperci radzą również pobieranie aplikacji wyłącznie z oficjalnego sklepu Google Play, choć jak dowodzi przykład Boxera.AA, stosowanie się tylko do tej zasady czasem może nie wystarczyć.

Źródło: ESET, Dagma
SebeekSZobacz profil
Poziom ostrzeżenia: 0%
SebeekS2012.12.13, 15:20
Nie mam tyle na koncie, jestem bezpieczny :D
poprostujakubZobacz profil
Poziom ostrzeżenia: 0%
poprostujakub2012.12.13, 15:23
Nie instaluję niczego, co chce ode mnie prawa do wysyłania SMS-ów.
mICh@eLZobacz profil
Poziom ostrzeżenia: 0%
mICh@eL2012.12.13, 15:30
Alternatywnej aplikacji SMS również nie? :P
miomolZobacz profil
Poziom ostrzeżenia: 0%
miomol2012.12.13, 15:39
13#4
Nie posiadam smartfona. Jestem bezpieczny.
ZarubaZobacz profil
Poziom ostrzeżenia: 0%
Zaruba2012.12.13, 15:56
-3#5
I dlatego nie sciagam nieznanych aplikacji z niepewnego zrodla :) Zreszta i tak korzystam tylko z facebooka, kilku serwisow informacyjnych, mobilnej panoramy firm (tej ulepszonej, z nowymi mapami) do znajdywania sklepów i czasami gram w gierki :)
ReduxZobacz profil
Poziom ostrzeżenia: 0%
Redux2012.12.13, 16:00
Dzięki za informację, teraz wiem by mieć się na baczności. :)
Nie wiadomo może czy Avast! (ten na Androida oczywiście) potrafi wykryć owego trojana?
SzwarcuZobacz profil
Poziom ostrzeżenia: 0%
Szwarcu2012.12.13, 16:29
-2#7
miomol @ 2012.12.13 15:39  Post: 622788
Nie posiadam smartfona. Jestem bezpieczny.

dumbfon to nie rozwiązanie :E
miomolZobacz profil
Poziom ostrzeżenia: 0%
miomol2012.12.13, 17:35
Szwarcu @ 2012.12.13 16:29  Post: 622802
miomol @ 2012.12.13 15:39  Post: 622788
Nie posiadam smartfona. Jestem bezpieczny.

dumbfon to nie rozwiązanie :E

Dumbfon? Jakoś nie narzekam na prędkość działania K510i. Nawet Opera Mini, GG i Facebook działają dobrze.
raximusZobacz profil
Poziom ostrzeżenia: 0%
raximus2012.12.13, 17:41
11#9
Mały błąd w windowsie: zjechanie w komentarzach od najgorszych.
Duży wirus na androida: ojtam ojtam, nic się nie stało...
SCOOBY666Zobacz profil
Poziom ostrzeżenia: 0%
SCOOBY6662012.12.13, 17:46
Ja mam zablokowane SMSy premium w abonamencie i nie mam się o co martwić.
Zaloguj się, by móc komentować
1