SMS-Trojaner – kein Ende in Sicht

Denis Maslennikov

Das Erscheinen neuer Schädlinge für Smartphones holt schon lange keinen Hund mehr hinter dem Ofen hervor. Einige dieser Schädlinge sind allerdings durchaus interessant. Was unterscheidet zum Beispiel den neuen SMS-Trojaner Trojan-SMS.WinCE.Sejweek.a von seinen „Artgenossen“? Schauen wir uns diesen Fall einmal genauer an.

Die meisten Schadprogramme, die Kurznachrichten mit einem bestimmten Inhalt an Premium-Nummern versenden, sind reichlich primitiv: SMS-Präfix und Kurznummer sind im Body der Schaddatei enthalten – sie sind also im Vorwege bekannt. Doch im Fall von Trojan-SMS.WinCE.Sejweek.a stellt sich alles ein wenig anders dar.

Nach dem Start der schädlichen Datei wird der Versuch unternommen, über den Link http://today*******.cn/*****/*****/get.php eine XML-Datei auf das Smartphone zu laden. In dem Moment, in dem ich diesen Blog schreibe, sieht die Datei folgendermaßen aus:

In eben dieser Datei sind enthalten: die Kurznummer, an die die SMS gesendet werden soll (Tag phone); der Text der Kurznachricht (Tag text) und das Intervall in dem die Nachrichten abgesetzt werden (Tag interval).

Ist der Download der XML-Datei erfolgreich, so dechiffriert das Schadprogramm die Texte „YGLYGLMKTYGL“ (Nummer, an die die SMS geschickt wird) und „YGLYGL“ (Intervall, in dem SMS verschickt werden). Das Ergebnis der Entschlüsselung ist „1151“ und „11“. Das bedeutet, die Kurzmitteilung mit dem Text 60*** wird alle 11 Sekunden an die Nummer 1151 gesendet. Geht man davon aus, dass eine SMS an diese Premium-Nummer um die 40 Rubel (also etwas mehr als 1 US-Dollar) kostet, so kann man sich vorstellen, um welche Summen der Anwender gebracht wird, der sich mit diesem Schadprogramm infiziert hat.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.