Analysen

SMS-Trojaner mit globalen Ambitionen

In letzter Zeit beobachten wir, dass SMS-Trojaner sich in immer mehr Ländern ausbreiten. Ein deutliches Beispiel dafür ist der Schädling Trojan-SMS.AndroidOS.Stealer.a, Dieser Trojaner, der auch den ersten Platz in unseren ТОР 20 der mobilen Schädlinge. belegt, ist zum gegenwärtigen Zeitpunkt in der Lage, Premium-SMS in 14 verschiedene Länder der Welt zu versenden.

Doch wie sich herausstellte, ist das noch nicht die äußerste Grenze. Ein anderer Trojaner – Trojan-SMS.AndroidOS.FakeInst.ef – bedroht Anwender in 66 Ländern, unter anderem in den USA. Das ist der erste uns bekannte Fall von SMS-Trojanern in diesem Land.

FakeInst wurde bereits im Februar 2013 von Kaspersky Lab entdeckt. Seither sind 14 verschiedene Varianten des Trojaners in Erscheinung getreten. Die ersten Versionen konnten nur in Russland Premium-SMS versenden, doch seit Ende der ersten Jahreshälfte 2013 werden auch andere Länder unterstützt:

USA Kasachstan Lettland Tschechien
Deutschland Ukraine Spanien Georgien
Litauen Weißrussland Polen Frankreich
Australien Moldawien Estland Griechenland
Tadschikistan Großbritannien Kirgisien Belgien
Finnland Malaysia Israel Mexiko
Hongkong Schweden Dänemark Serbien
Aserbaidschan Armenien Chile Bosnien
Nigeria Ungarn Kanada Niederlande
Mazedonien Schweiz Portugal Slowakei
Norwegen Südafrika Ägypten Brasilien
Montenegro Kambodscha Irland Vietnam
Luxemburg Argentinien Peru Slowenien
Marokko Indonesien Kolumbien Italien
Ecuador Bolivien China Neuseeland
Albanien Venezuela

Die meisten Infektionen mit dem Schädling Trojan-SMS.AndroidOS.FakeInst.ef registrierte Kaspersky Lab in Russland und in Kanada.

Geografie der Infektionen mit Trojan-SMS.AndroidOS.FakeInst.ef

FakeInst gibt sich als Anwendung zum Darstellen eines pornografischen Videos aus.

Die Anwendung bittet den Nutzer, den Versand einer SMS als Bezahlung für das Ansehen von kostenpflichtigem Content zu bestätigen. Nach dem Versand der SMS öffnet der Trojaner allerdings eine allgemein zugängliche Site.

Für den Versand der SMS dechiffriert der Trojaner seine Konfigurationsdatei, in der alle Nummern und Präfixe gespeichert werden:

In dieser Datei wählt FakeInst die passenden Nummern und Präfixe für den mobilen Ländercode (MCC) des Anwenders.

Beispielsweise versendet der Trojaner für MCC 311-316 (USA) an die Nummer 97605 drei SMS, von denen jede etwa 2 Dollar kostet.

Zudem wendet sich der Schädling an sein С&C, um neue Anweisungen entgegenzunehmen. Unter den Befehlen, die er empfangen kann, sind der Versand von SMS mit vorgegebenem Text an die im Befehl angegebene Nummer sowie das Abfangen eingehender Mitteilungen besonders hervorzuheben. Dabei kann der Trojaner einfach alle eingehenden SMS stehlen, er kann sie löschen oder darauf antworten.

Bearbeitung der Befehle vom Steuerungsserver zum Abfangen von SMS

Wir nehmen an, dass FakeInst von russischsprachigen Virenautoren entwickelt wurde. Erstens waren die ersten Versionen dieses Trojaners nur für Russland ausgelegt. Zweitens sind alle C&C in russischen Unternehmen registriert bzw. werden dort gehostet. In praktisch allen Versionen des Trojaners wird einer der folgenden C&C verwendet:
x-bt.in
y-bt.in

Diese Adressen wurden auf den Namen „Klimon Dmitriy Ivanovich“ registriert, mit Moskauer Adresse und russischer Telefonnummer.

Diese Domains verwenden die DNS-Server des Unternehmens FASTVPS.RU.

Unter derselben IP-Adresse wie diese C&C sind auch die folgenden Sites untergebracht:
botmgr.net
anid.in
icemob.net
ftop.org
midex.org
wapon.org

Ihren Antworten und ihrer Struktur nach zu urteilen werden die aufgezählten Sites ebenfalls zur Steuerung der Bots verwendet. Zudem wurden sie auch mit den oben aufgeführten Daten registriert.

SMS-Trojaner mit globalen Ambitionen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach