F-Secure: Монетизация мобильных вредоносных программ

Чаще всего мобильные мошенники используют трояны, отсылающие платные SMS (Premium SMS). Обычно это простые приложения с минимальным социально-инжиниринговым пользовательским интерфейсом или «троянизированные» версии обычных приложений или игр. Поскольку премиум-SMS работают только в одной стране, то и троянские программы крайне локализированы. Большинство троянских программ, отсылающих платные SMS, по данным F-Secure, работают в России.

Обычно мобильные трояны распространяются с помощью коммуникационных сервисов:

SMS-троян Fakeplayer

Fakeplayer A и B – SMS-троянцы для платформы Android, замаскированные под мультимедиа-приложения. Во время установки Fakeplayer спрашивает разрешение на отсылку SMS, а поскольку Android-приложения запрашивают обычно массу разрешений, то пользователь, ничего не подозревая, жмет на кнопку «установить». Когда приложение запущено, на экране появляется текст «Подождите, ищем доступ к видео-библиотеке». Fakeplayer B распространяется с помощью SEO-методов, нацеленных на поисковые запросы порно-контента.

Трояны, звонящие на номера с премиум-тарификацией (Premium Rate Call Trojans)

В отличие от премиум-SMS, существуют международные номера с премиум-тарификацией, т.е. создатели таких троянов могу не ограничивать себя одной страной, а охватить сразу все страны мира. Разработчик трояна регистрирует номер с премиум-тарификацией у оператора. Стоимость звонка на такой номер тарифицируется по международным тарифам, а владелец номера получает долю от стоимости звонка. Но на самом деле, звонок производится в местной сети, а тарифицируется как международный.

От такого типа трояна можно избавиться только блокированием международных звонков, в отличие от премиум-SMS.

Трояны, отсылающие премиум-SMS и звонящие на номера с премиум-тарификацией для Windows

Такие трояны были популярны в эпоху модемов, сейчас F-Secure известно о двух таких случаях. GPRS USB-модем используется для отсылки премиум-SMS. Еще один вариант – отсылка платных SMS и звонки на номера с премиум-тарификацией с телефона, соединенного с компьютером по Bluetooth. Nokia PC Suite также предлагает удобный интерфейс для отсылки SMS и звонков, которым могут воспользоваться мошенники.

Подписка абонента на платные сервисы без его ведома.

В этом случае цель мошенников – подписать абонента на платный сервис таким образом, чтобы он этого не заметил и, затем, взимать плату за сервис. Обычно подписку маскируют под заказ рингтона или участие в лотереи, хотя на самом деле абонент, сам не зная того, дает согласие на подписку платного сервиса.

Альтернативный метод – использование WAP-push. Абонент получает ссылку по WAP-push с каким-нибудь социально-инжиниринговым сообщением. Кликнув по ссылке, попадает на обычную страницу с мобильной рекламой. Однако, в тот же момент сервер получает MSIDN абонента и подписывает жертву на платный сервис.

Ikee.B – первая попытка создать мобильный банкинг-троян

Сначала появился «червь» Ikee.A для iPhone, который был относительно безвредным и занимался только собственным распространением. Однако, Ikee.B от другого автора был создан для получения финансовой выгоды. После внедрения на телефон, Ikee.B связывался с контрольным сервером и загружал payload, модифицирующий /etc/hosts для перенаправления сайта банка Dutch ING на сервер в Японии на сайт небольшого японского цветочного магазина. Dutch ING использовал коды SMS TAN, а Ikee.B перенаправлял SMS-сообщения, содержащие TAN-код на HTTP-сервер. Мобильный TAN-код генерируется банком и отсылается пользователю.

Мобильные вредоносные программы, требующие выкуп

Дефолтный SSH-пароль в разлоченных iPhone был использован для создания первой такой программы. Голландский подросток воспользовался дырой для атаки уязвимых смартфонов и изменил сообщение на экране блокировки. Сайт, указанный в этом сообщении, требовал 4,95 $ за инструкцию по ликвидации уязвимости. Правда, чуть позже хакер извинился и разместил инструкции бесплатно.

По данным F-secure это единственная мобильная вредоносная программа такого рода на сегодняшний день. Однако российские PC-пользователи наверняка сталкивались с PC-программами, блокирующими компьютер и требующими отослать SMS на платный номер для разблокировки компьютера.

Фальшивые приложения

Строго говоря, такие приложения нельзя отнести к вредоносным программам. Фактически это приложение без какого-либо функционала, которое продается за сравнительно небольшую сумму, ради возврата которой пользователь вряд ли будет жаловаться. Характерный пример фальшивые приложения мобильного банкинга якобы предоставляют мобильные сервисы от указанных банков. После запуска такое приложение открывает в мобильном браузере сайт банка.

Однако, подобные подделки могут быть использованы для фишинг-атак (например, для получения пароля доступа к управлению банковским счетом).

Прогнозы F-Secure о развитии мобильных вредоносных программ

Теперь, когда авторам некоторых программ удалось сделать на них деньги, число желающих поправить свое материальное положение таким способом будет только расти. Скорее всего, от премиум-SMS мошенники перейдут к звонкам по премиум-тарифам. Основной вопрос – насколько масштабным будет наступление мошенников. Эпидемия вирусов и прочих вредных программ для PC началась в 2004 году, когда авторы впервые получили прибыль. Уже сейчас, в 2010 году, большинство из создаваемых вредоносных мобильных программ нацелены на получение прибыли.

Ниже – презентация компании F-Secure на Mobile Monday Helsinki (первые 10 слайдов – фото офиса F-Secure, советуем начать сразу с 11-й страницы).