Skip to main content

Для вас одно новое фото от Google+

В рубрике
10 votes



[MTS] Для Вас одно новое фото от Google+ goo.gl/...

Такое или подобное ему сообщение получали многие в течение последнего времени.
Что же таит такое загадочное сообщение? Какие фотографии Google может показать?

Было проведено исследование, направленное на поиск ответов на подобные вопросы, а также на установление последствий. Его результаты оказались во многом неутешительными для владельцев мобильных аппратов.

Пойди туда, не знаю куда...

Сообщение построено таким образом, чтобы среднестатистический человек не обнаружил в нем ничего подозрительного. В коротком предложении упоминаются одновременно два крупных бренда - MTS и Google.
К тому же ссылка ведет на первый взгляд на проверенный сайт (goo.gl - сервис Google URL Shortener - сервис "укорачивания" ссылок). Все направлено на то, чтобы все-таки перейти по ссылке...

Получи свою Mozilla-Mobile!

Внимательный читатель спросит - причем тут Mozilla?! Ведь до этого в записи из брендов звучали только Google и MTS. Откуда вдруг взялась Mozilla?

На самом деле ответ прост. При переходе по ссылке пользователь получает файл, название которого Mozilla-Mobile.jar.



Вас приветствует процесс установки!

Именно такой текст видит на экране своего мобильного пользователь.

В процессе установки есть кнопка "Условия", на которую обычно никто не нажимает. Поэтому в данной части она не будет даже рассмотрена.

В конце пользователь получает сообщение



Поздравляем! Активация успешна. Скоро Вы получите смс со ссылкой на изображение.
Либо нажмите \"Далее\" для немедленной загрузки

И, как правило, так и не дожидается никакого смс.

Анализ последствий

То, что было описано до этого момента - это то, как видит происходящее среднестатистический человек, ничего не подозревающий о том, что его только что обманули.
Для того, чтобы разобраться с тем, как это произошло вернемся в самое начало.

СМС-сообщение

Из смс-сообщения помимо текста с короткой ссылкой можно узнать номер отправителя.
Странным является тот факт, что сообщение от MTS (якобы) с оповещением о том, что Google+ прислал новое фото, отправлено с обычного мобильного телефона является странным. Обычно такие сообщения отправляются автоматически с каких-нибудь коротких номеров.

Совет #1.
Будьте внимательны! Смотрите на номер отправителя сообщения и вдумывайтесь в текст сообщения.

Скачанный файл

Присланный файл сразу же выдавал себя названием и расширением.
Пользователь переходил по ссылке для того, чтобы посмотреть фотографии, а ему скачивается файл с названием Mozilla-Mobile и расширением .jar.
Mozilla-Mobile - мобильный браузер, явно не являющийся картинкой, а расширение .jar - java архив.

Совет #2.
Смотрите на то, что вы скачиваете. Если вы скачивали изображение, а скаченный файл имеет расширение .jar, .exe, .com и тому подобные - это с большой вероятностью вредоносная программа. Удалите ее еще перед тем, как запускать.

Запущенный файл

Как уже говорилось .jar - это java архив. Открыв его, можно обнаружить файлы, которые имеют расширения .class - файл класса java.
Скачанный java архив содержал в себе два файла - a.class и app.class.
Декомпилировав их и посмотрев код, можно сделать несколько выводов.
  • Вредоносная программа (а это оказалось так) написана русским программистом. Этот факт доказывает, во-первых, то, что все сообщения, адресованные пользователю написаны на русском языке, а также то, что массив, предназначенный для ассоциации первых цифр номера мобильного телефона с названием страны выглядел примерно так: ".. b.put("31", "niderlandi"); .."
  • Никакая загрузка на самом деле не происходит. Это доказывает строчки вида "percent = 53.0F; "
  • Во время "загрузки" с телефона пользователя отправляется несколько смс-сообщений :
    "
    1. if (!(percent < 61.0F))
    2. {
    3. nextSMS();
    4. return;
    5. }
    6. if (!(percent < 64.0F))
    7. {
    8. nextSMS();
    9. return;
    10. }
    11. if (!(percent < 67.0F))
    12. {
    13. nextSMS();
    14. return;
    15. }
    "
    И в случае успешной отправки загрузка доходит до 100%

Также надо заметить, что немаловажным является прочтение условий (лицензионных сообщений).
Например, в данной программе ЛС было достаточно длинным, однако показывало, что на самом деле происходит (текст ЛС был сокращен для уменьшения места):



Вас приветствует процесс установки!Для получения доступа к контенту вы должны согласиться с условиями, представленными ниже. Ниже представлен текст соглашения-оферты между сервисом {ms} и Абонентом. 1. Администрация {ms} не несет никакой ответственности за любой прямой или косвенный ущерб, возникший в результате использования приложения, включая упущенную прибыль и понесенные убытки. 2. При первом запуске приложений {ms} запрашивается разрешение на передачу регистрационных данных с использованием короткого номера. 3. Пользователь вправе отказать в передаче регистрационных данных. В таком случае приложения {ms} остаются неактивированными. 4. Администрация {ms} не несет никакой ответственности за содержание приложений, доступ к которым оплачивается через приложение {ms}. 5. 5. Для получения доступа, к предоставляемому сервисом Opera_SP контенту, необходимо произвести оплату: Для абонентов России оплата осуществляется с помощью отправки двух смс сообщений на короткий номер **** (cтоимость 1 сообщения на короткий номер **** для абонентов Мегафон – 200 рублей с НДС, Билайн – 170 рублей с НДС, МТС – 203.20 рублей с НДС, Tele2 - 236.00 рублей с НДС, ...

Здесь {ms} - ссылка на сайт.

Совет #3.
Читайте лицензионные соглашения!

Интересный факт

Короткая ссылка goo.gl/.. ведет на страницу, которая содержала в себе редирект. В свою очередь этот редирект приводит еще на одну страницу с редиректом.
В конечном итоге загружается страница, которая в зависимости от времени (непроверенный факт) редиректит на разные страницы, где скачиваются разные файлы:
  • Mozilla_mobile.jar
  • Opera-Mini 6.1
  • Что-то еще

Выводы

Проявив невнимательность, необразованность, пользователь, пройдя по ссылке, загрузил троянскую программу, которая без его ведома отправила несколько смс-сообщений на платные номера.
Каждое сообщение стоило примерно 180-200 рублей.

На момент проведения исследования вредоносная программа на портале virustotal.com детектировалась только тремя антивирусами:

Вредоносная программа была отправлена в Лабораторию Касперского на анализ.
От вирусного аналитика быо получен ответ:



Firefox_Mobile.jar - HEUR:Trojan-SMS.J2ME.Agent.gen
В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

И в завершении еще раз советы:
Совет #1.
Будьте внимательны! Смотрите на номер отправителя сообщения и вдумывайтесь в текст сообщения.
Совет #2.
Смотрите на то, что вы скачиваете. Если вы скачивали изображение, а скаченный файл имеет расширение .jar, .exe, .com и тому подобные - это с большой вероятностью вредоносная программа. Удалите ее еще перед тем, как запускать.
Совет #3.
Читайте лицензионные соглашения!
Совет #4.
Не отславляйте, по возможности, свои конфиденциальные данные, включая мобильный телефон, в сети.
Совет #5.
Включайте мозг!

Аватар пользователя admin

Отличное исследование! Отличное оформление! Эталонное, можно сказать! Smile

Я взял на себя смелость заменить картинку. Ничего? Wink

Аватар пользователя Тимченко Александр

Отлично Smile

Аватар пользователя Шевченко Станислав

Отлично. +1
Большое спасибо за пост, очень полезно и очень интересно
Однозначно заплюсовал

Аватар пользователя Подворный Егор

Круто! Спасибо за пост, очень актуально=)