SMS-Trojaner mit globalen Ambitionen

In letzter Zeit beobachten wir, dass SMS-Trojaner sich in immer mehr Ländern ausbreiten. Ein deutliches Beispiel dafür ist der Schädling Trojan-SMS.AndroidOS.Stealer.a, Dieser Trojaner, der auch den ersten Platz in unseren ТОР 20 der mobilen Schädlinge. belegt, ist zum gegenwärtigen Zeitpunkt in der Lage, Premium-SMS in 14 verschiedene Länder der Welt zu versenden.

Doch wie sich herausstellte, ist das noch nicht die äußerste Grenze. Ein anderer Trojaner – Trojan-SMS.AndroidOS.FakeInst.ef – bedroht Anwender in 66 Ländern, unter anderem in den USA. Das ist der erste uns bekannte Fall von SMS-Trojanern in diesem Land.

FakeInst wurde bereits im Februar 2013 von Kaspersky Lab entdeckt. Seither sind 14 verschiedene Varianten des Trojaners in Erscheinung getreten. Die ersten Versionen konnten nur in Russland Premium-SMS versenden, doch seit Ende der ersten Jahreshälfte 2013 werden auch andere Länder unterstützt:

USA Kasachstan Lettland Tschechien
Deutschland Ukraine Spanien Georgien
Litauen Weißrussland Polen Frankreich
Australien Moldawien Estland Griechenland
Tadschikistan Großbritannien Kirgisien Belgien
Finnland Malaysia Israel Mexiko
Hongkong Schweden Dänemark Serbien
Aserbaidschan Armenien Chile Bosnien
Nigeria Ungarn Kanada Niederlande
Mazedonien Schweiz Portugal Slowakei
Norwegen Südafrika Ägypten Brasilien
Montenegro Kambodscha Irland Vietnam
Luxemburg Argentinien Peru Slowenien
Marokko Indonesien Kolumbien Italien
Ecuador Bolivien China Neuseeland
Albanien Venezuela

Die meisten Infektionen mit dem Schädling Trojan-SMS.AndroidOS.FakeInst.ef registrierte Kaspersky Lab in Russland und in Kanada.

Geografie der Infektionen mit Trojan-SMS.AndroidOS.FakeInst.ef

FakeInst gibt sich als Anwendung zum Darstellen eines pornografischen Videos aus.

Die Anwendung bittet den Nutzer, den Versand einer SMS als Bezahlung für das Ansehen von kostenpflichtigem Content zu bestätigen. Nach dem Versand der SMS öffnet der Trojaner allerdings eine allgemein zugängliche Site.

Für den Versand der SMS dechiffriert der Trojaner seine Konfigurationsdatei, in der alle Nummern und Präfixe gespeichert werden:

In dieser Datei wählt FakeInst die passenden Nummern und Präfixe für den mobilen Ländercode (MCC) des Anwenders.

Beispielsweise versendet der Trojaner für MCC 311-316 (USA) an die Nummer 97605 drei SMS, von denen jede etwa 2 Dollar kostet.

Zudem wendet sich der Schädling an sein С&C, um neue Anweisungen entgegenzunehmen. Unter den Befehlen, die er empfangen kann, sind der Versand von SMS mit vorgegebenem Text an die im Befehl angegebene Nummer sowie das Abfangen eingehender Mitteilungen besonders hervorzuheben. Dabei kann der Trojaner einfach alle eingehenden SMS stehlen, er kann sie löschen oder darauf antworten.

Bearbeitung der Befehle vom Steuerungsserver zum Abfangen von SMS

Wir nehmen an, dass FakeInst von russischsprachigen Virenautoren entwickelt wurde. Erstens waren die ersten Versionen dieses Trojaners nur für Russland ausgelegt. Zweitens sind alle C&C in russischen Unternehmen registriert bzw. werden dort gehostet. In praktisch allen Versionen des Trojaners wird einer der folgenden C&C verwendet:
x-bt.in
y-bt.in

Diese Adressen wurden auf den Namen „Klimon Dmitriy Ivanovich“ registriert, mit Moskauer Adresse und russischer Telefonnummer.

Diese Domains verwenden die DNS-Server des Unternehmens FASTVPS.RU.

Unter derselben IP-Adresse wie diese C&C sind auch die folgenden Sites untergebracht:
botmgr.net
anid.in
icemob.net
ftop.org
midex.org
wapon.org

Ihren Antworten und ihrer Struktur nach zu urteilen werden die aufgezählten Sites ebenfalls zur Steuerung der Bots verwendet. Zudem wurden sie auch mit den oben aufgeführten Daten registriert.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.