Unikátní androidí červ se šíří pomocí SMS

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Batou
Datum: 29.6.2014
Hodnocení/Hlasovalo: 0/0

V posledních měsících se jedná o druhý výskyt podobně se šířícího malware. Zářez se podařil zaměstnancům společnosti AdaptiveMobile, kteří červa Selfmite objevili celkem brzo po jeho vypuštění. Naštěstí.

Červ se, jak již bylo zmíněno, šíří pomocí SMS zpráv ve formě odkazu. Po úspěšném uhnízdění v zařízení se přepošle dalším 20 kontaktům z telefonu oběti. Zpráva obsahuje následující vzkaz:

Dear [JMÉNO], Look the Self-time, a následuje odkaz vytvořený zkracovačem goo.gl. Po jeho navštívení se oběti nainstaluje „TheSelfTimerV1.apk“, který vytvoří na ploše zařízení ikonku. Ta po kliknutí okamžitě přečte adresář kontaktů, najde 20 různých jmen/čísel a vypíše již zmíněnou hlášku. Na obrázku vidíte kód, který se o to stará:

Po odeslání zpráv novým obětem se Selfmite snaží v prohlížeči otevřít adresu z rozsahu hxxp://173.244.***.***/message.php a zkouší přistoupit k dalším odkazům na tomto serveru (rovněž zkrácených službou goo.gl). Ty uživateli primárně nabídnou ke stažení a instalaci „mobogenie_122141003.apk“, resp. aktuální verzi Mobogenie Marketu. Mobogenie je populární androidí aplikace, která slouží k synchronizaci mobilního zařízení s počítačem a stahování/správu aplikací z různých zdrojů. Podle Google Play má Mobogenie Market mezi 50 a 100 miliony stažení.

Problémem však není pouze to, že si uživatel nahraje do telefonu malware a nechtěnou aplikaci, červ totiž dále obsahuje funkcionalitu zasílání SMS na vysoce placené mobilní služby. Než se podařilo zaměstnancům AdaptiveMobile informovat Google, aby adresu na stažení škodlivého „TheSelfTimerV1.apk“ zablokovali, nakaženo bylo přes 2000 lidí. Při dalších kampaních útočníci samozřejmě přijdou s jinou adresou, nyní se však podařilo infekci v USA zastavit.

Více informací najdete na webu společnosti AdaptiveMobile.