Mobiles Spiel mit Trojaner als Zugabe

März erschien auf verschiedenen Websites, die Freeware für Smartphones unter Windows Mobile zum Download anbieten, das neue Spiel „3D Antiterrorist“. Im Innern des anderthalb Megabyte großen Archivs findet sich außer dem Spiel auch eine Datei mit der Bezeichnung reg.exe. Dabei handelt es sich in Wahrheit um einen Trojaner, der internationale Bezahlnummern anruft, was sich wiederum unangenehm auf die finanzielle Situation des Smartphone-Anwenders auswirkt. Seit dem 8. April wird dieses Schadprogramm von Kaspersky Lab als Trojan.WinCE.Terdial.a erkannt. Mit was für einem Schädling haben wir es hierbei genau zu tun?

Nach dem Start der Datei antiterrorist3d.cab erfolgt die Installation des Spiels im Verzeichnis „Programmdateien“ – sowie das Kopieren der Schaddatei reg.exe mit einer Größe von 5632 Byte in den Systemordner, und zwar unter dem Namen smart32.exe.

Eine eingehendere Analyse des Schadcodes hat gezeigt, dass:

  • das Schadprogramm von russischsprachigen Virenschreibern entwickelt wurde;
  • die Anrufe alle 50 Sekunden an 6 verschiedene Premium-Nummern abgesetzt werden;
  • der Schädling die Funktion CeRunAppAtTime benutzt, um sich selbst zu starten, wobei der Start in den Nachtstunden erfolgt (d.h. also, wenn der Besitzer des Smartphones aller Wahrscheinlichkeit nach schläft).

Liste der Nummern, die angerufen werden:

  • +882******7 – International Networks
  • +1767******1 – Dominikanische Republik
  • +882*******4 – International Networks
  • +252*******1 – Somalia
  • +239******1 – São Tomé und Príncipe
  • +881********3 – Global Mobile Satellite System

Vor einem Jahr berichteten wir über Pornodialer für Smartphones unter dem Betriebssystem Symbian. In dem Fall damals wurden die Anrufe an internationale kostenpflichtige Nummern von dem Schadprogramm durchgeführt, um Zugriff auf Materialien zu erhalten, die für Personen über 18 Jahre bestimmt sind. Dabei wurde der Anwender darauf hingewiesen, dass eine internationale Premium-Nummer angerufen wird.

Jetzt haben wir es dagegen mit dem ersten Schädling zu tun, der internationale Bezahlnummern anruft, um so illegal die Taschen des Virenschreibers zu füllen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.