Мобильная игра и троянец "в подарок"

С 27 марта на различных международных сайтах, посвященных бесплатному программному обеспечению для смартофонов под управлением операционной системы Windows Mobile и позволяющих это программное обеспечение скачать, появилась новая игра "3D Antiterrorist". Внутри полуторамегабайтного архива, помимо самой игры, можно найти файл с именем reg.exe, который в действительности является троянской программой, звонящей на международные платные номера, что чревато ощутимыми денежными потерями для владельцев смартфонов. С 8 апреля вредоносная программа детектируется «Лабораторией Касперского» как Trojan.WinCE.Terdial.a. Что же представляет собой данный зловред?

После запуска установочного файла antiterrorist3d.cab происходит инсталляция игры в директорию "Program Files", а также копирование вредоносного файла reg.exe размером 5632 байт в системную директорию под именем smart32.exe.

Более детальный анализ кода зловреда показал, что:

• вредоносная программа была создана русскоязычным вирусописателем;
• звонки осуществляются на 6 различных премиум-номеров через каждые 50 секунд;
• зловред использует функцию CeRunAppAtTime для собственного запуска, причем запуск осуществляется в ночное время (т.е. когда пользователь смартфона, скорее всего, спит).

Список номеров, на которые осуществляются звонки:

• +882******7 - International Networks
• +1767******1 - Доминиканская республика
• +882*******4 - International Networks
• +252*******1 - Сомали
• +239******1 - Сан-Томе и Принсипи
• +881********3 - Global Mobile Satellite System

Год назад мы писали о порнозвонилке для смартфонов под управлением операционной системы Symbian. Напомним, что звонки на международные платные номера осуществлялись этой программой для получения доступа к материалам, предназначенным лицам старше 18 лет, при этом пользователь получал предварительное предупреждение о звонке на международный платный номер.

Теперь же мы имеем дело с первой вредоносной программой, которая звонит на международные платные номера, нелегально обогащая владельца(ев) вредоносной программы.